Honderden medewerkers en studenten kregen vorige week een mail met daarin de mededeling dat er ongebruikelijke activiteit was gesignaleerd op hun VU-account. Of ze op de link wilden klikken om dat te fixen.
Het was een nep-phishingmail om te checken hoe naïef medewerkers en studenten zijn. De mailcampagne duurde slechts twee dagen. “Hoeveel mensen er op de link hebben geklikt, is nog niet bekend. Bij een eerdere campagne vorig jaar was dat zo’n negen procent en het jaar ervoor twaalf ”, vertelt IT-medewerker Peter Konieczek.
Dit is de eerste keer dat de dienst IT de phishingtest zelf doet. In voorgaande jaren was het uitbesteed aan een extern bedrijf. Een kenmerk van deze phishingmails was dat het mailadres er niet heel onbetrouwbaar uitziet: technicalsupportteam@vu.nl. Daarvan denk je toch dat je er veilig op kunt klikken.
Er zijn verschillende aanwijzingen dat iets een phishingmail kan zijn, vertelt Konieczek. In deze mail was dat bijvoorbeeld dat het genoemde IP-adres niet echt is, dat de VU geen afdeling heeft die Technical Supportteam heet (dat is namelijk de IT Servicedesk) en dat de link naar een verdachte, niet-VU-url ging. Konieczek: “Dit is een startpunt om te kijken waar we nu staan, in de toekomst gaan we de campagnes moeilijker maken.”
Hackers eisen losgeld
Hoe vaak medewerkers met hun VU-account op echte phishingmails klikken, weet Konieczek niet. “Het komt af en toe voor”, stelt hij, “maar de meeste phisingmails verdwijnen in de spamfilter, evenals reclame.”
Dat phishing een reëel gevaar kan vormen voor universiteiten, bewijst het verhaal van Universiteit Maastricht, waar hackers via een phishingmail konden inbreken in de digitale systemen. Ze dreigden een groot deel van de bestanden van de universiteit te vernietigen als de universiteit geen losgeld zou betalen. Het kostte Maastricht twee ton aan bitcoins om dat te voorkomen, maar uiteindelijk kreeg de universiteit dat losgeld (dat door de politie teruggevonden was) met winst terug door de gestegen koers van de cryptovaluta.
Ook wetenschapsorganisatie NWO, de Universiteit van Amsterdam en de Hogeschool van Amsterdam hadden in het verleden te kampen met aanvallen van cybercriminelen.
De uitkomsten van de nep-phishingcampagne gaat de dienst IT misschien gebruiken om trainingen te geven aan afdelingen binnen de VU. Daarnaast is het een test of de informatiecampagne over phishing tot meer bewustwording leidt onder studenten en medewerkers.