Een vijfde UU-medewerkers klikt op ‘eigen’ phishing mail

Afgelopen maandag, dinsdag en woensdag kregen 12.900 UU’ers zogenaamd een mail van de Salarisadministratie. Daarin stond dat de uitbetaling van het loon in gevaar kwam als je niet snel enkele persoonlijke gegevens invulde. Zo vlak voor pay day een urgente zaak.

Van de bijna 13.000 werknemers, klikte ongeveer 20 procent op de link in de mail. Deze leidde naar een scherm waar je moest inloggen op je Microsoftaccount van de universiteit met je Solis-ID en wachtwoord. Dit deed 10 procent van de gemailden. ‘Oeps, wat heb je nou gedaan?’ kregen zij toen in beeld en werden op de hoogte gesteld dat het ging om een nep-mail van de Directie ITS.  Ze werden gevraagd een video over phishing mail te bekijken.

Een goede actie
Een klein team van de Directie ITS had in het geheim de operatie opgezet voor de campagne Switch on Security. “Ook voor mij was de actie lang geheim”, zegt adjunct-directeur Carol van der Palen van ITS. “Ik wist pas kort van tevoren hoe die er precies uit zou zien.”

Aan sommige collega’s van onder andere de financiële administratie, de ICT-Servicedesk en HR-servicedesk had hij wel wat uit te leggen. De meesten waren niet op de hoogte en kregen verontruste UU’ers aan de lijn. Maar er waren veel meer collega’s die de actie positief vonden, zegt programmamanager van SecUUr John Strijker die verwijst naar een post op LinkedIn waar UU-medewerkers de actie bespreken. “Een aantal heeft nu ondervonden hoe gemakkelijk je op een phishing mail kan klikken.”

Veiligheidsrisico
De universiteit hamert al jaren op het veilig houden van het universitaire netwerk. Na de hack in Maastricht tijdens kerst 2019 werden er nog eens extra stappen gezet. En die waren nodig, zegt Van der Palen. Hij wijst naar de meer recente hacks van onderzoeksfinancier NWO en de hogeschool en universiteit van Amsterdam in februari van dit jaar. “Hackers hoeven maar één keer geluk te hebben, terwijl beveiligers alle gaten moeten dichten.”

Door het invoeren van twee-factor-authenticatie (2FA) heeft de universiteit inmiddels een extra barrière opgeworpen voor hackers.  “Als nu je wachtwoord wordt gestolen of geraden,  is dat net iets minder erg, omdat er nog een stap volgt voor je kan inloggen.” Maar toch blijft een goed wachtwoord nodig, zegt Van der Palen. “Zoals ik altijd zeg: het grootste veiligheidsrisico zit tussen toetsenbord en rugleuning. Veel mensen gebruiken voor Zalando hetzelfde wachtwoord als voor het werk. Als persoonsgegevens van Zalando op straat komen te liggen, zit jouw UU-wachtwoord daar dus ook bij.”

Open organisatie
Voor hackers is het relatief eenvoudig om verschillende bestanden aan elkaar te koppelen. “Wij zijn een open organisatie en veel van onze informatie is publiek toegankelijk, zoals onze e-mailadressen of de dag waarop de universiteit de salarissen overmaakt. De mail die mijn collega’s hebben verstuurd, had ook zo maar van een echte hacker kunnen zijn.”

Dat de mail van de ‘salarisadministratie’ niet van de echte afdeling kwam, was te zien aan het mailadres dat niet @uu.nl had maar @universiteitutrecht.nl. Voor de rest leek de mail door het taalgebruik en de opmaak echt van de UU te komen. Dat bijna een vijfde op de mail klikte, is de gemiddelde opbrengst van een phishing mail, zegt Van der Palen. “Met deze oefening willen we laten zien hoe alert je dus moet zijn.”

Geleerde lessen
Er zijn van deze oefeningen verschillende lessen geleerd, zeggen Van der Palen en Strijker. De eerste is dat de universitaire medewerker een mens is als ieder ander en dus niet per se alerter. Een aantal zag niet dat de mail van de salarisadministratie vals was. Er moet dus gewerkt worden aan de verdere bewustwording van medewerkers. Deze phishing mail is onderdeel van die campagne.

Daarnaast werd duidelijk dat medewerkers elkaar waarschuwen voor de verdachte mail. “En dat is een prima reactie. Iemand heeft door dat de mail nep is en waarschuwt zijn collega’s. Dat is ook exact de reden waarom bijna niemand op de hoogte was van de exacte datum en inhoud”, zegt Van der Palen.

Zo’n 900 medewerkers deden een melding bij of de Helpdeks of bij Cert, het Computer Emergency Response Team. “Dit type melding hoort bij Cert gedaan te worden en niet bij de Helpdesk. Het is ons nu onder meer duidelijk geworden dat deze afdeling nog wat bekender moet worden.”

Advertentie