De schaamte om phishing

En wat WUR doet om de risico’s te verkleinen

Het aantal phishingaanvallen is tijdens de pandemie wereldwijd met 220 procent gestegen

Oktober vorig jaar was WUR doelwit van een grote phishingaanval. Een studente die er slachtoffer van werd, vertelt hoe ze in de val trapte, en een medewerker van de Servicedesk IT wat de universiteit doet om dit soort aanvallen te verhinderen.

Nog steeds kan ze wel door de grond zakken van schaamte. De 24-jarige studente Voeding en Levensmiddelen Aim (niet haar echte naam) was slachtoffer van een phishing-aanval op de universiteit. Haar fout: ze klikte op een linkje in een mail, waarvan ze dacht dat die van een medestudent afkomstig was die om hulp vroeg.

Een serieus uitziend mailtje. Ze moest doorklikken en kwam in een omgeving die er exact uitzag als die van WUR. Aim is iemand die graag helpt en doet ook nu bijna gedachteloos wat er van haar wordt gevraagd. Tot ze bijna een week later mailtjes en appjes krijgt van allerlei studenten en zelfs een docent die klagen over dat rare mailtje dat ze zou hebben gestuurd. Ze is zich van geen kwaad bewust, maar ineens begint het te dagen dat ze in een phishingaanval is getrapt.

Illustratie Marc Kolder

Schrik van elke organisatie

Phishing is de schrik van elke moderne organisatie. Het gaat uit van die ene medewerker die zonder nadenken in een val trapt, die grote consequenties kan hebben. Ook de aanvaller die vorig jaar het computersysteem van Maastricht University gijzelde, maakte gebruik van phishing. Uiteindelijk werden 267 servers en 2 werkstations daar gecompromitteerd en versleuteld, zélfs de back-upserver. Uiteindelijk moest de universiteit bijna 200.000 euro betalen om zich te verlossen van de hacker.

Online fraude zorgde in Nederland het afgelopen jaar voor miljoenen euro’s schade, vaak door een specifieke vorm van phishing, waarbij bankgegevens worden buitgemaakt: spoofing. Volgens het eind vorig jaar verschenen Phishing and Fraud report is het aantal phishingaanvallen tijdens de pandemie wereldwijd zelfs met 220 procent gestegen. Fraudeurs wisten, volgens de onderzoekers van F5 labs, vooral slim in te spelen op de angsten van internetgebruikers door e-mails te verzenden met onderwerpregels als ‘Covid-19 in your area?’ en ‘Message from the World Health Organization’.

Anders dan bij geavanceerde technische hacks, maken fraudeurs bij phishing juist gebruik van een combinatie van techniek én psychologie. Dit wordt ‘social engineering’ genoemd. Een bekende studie uit 2013 van Cambridge zet de meest meest gebruikte overtuigingstechnieken op een rijtje. Autoriteit (doen alsof je namens een officiële instantie, bijvoorbeeld de universiteit, mailt) en urgentie (het afgelopen jaar was dat vaak corona) stonden bovenaan.

5 tips om phishing te herkennen

1

Je wordt niet persoonlijk aangesproken, de aanhef is algemeen.

2

Slecht taalgebruik met spelfouten kan een teken zijn van phishing, maar dat wil niet zeggen dat ‘nette’ mails altijd veilig zijn!

3

Pas op met weblinks met dringende verzoeken om in te loggen of persoonlijke informatie te verstrekken, omdat anders …!

4

De displaynaam van de afzender ziet er officieel uit, maar het werkelijke mailadres klopt niet.

5

Je moet een bestand openen of op een link klikken om te begrijpen waar de mail eigenlijk over gaat. Doe dat niet!

Bij kennisinstellingen als universiteiten is er vooral de angst voor diefstal of gijzelen van data, zoals in Maastricht. Ook in Wageningen is (poging tot) phishing aan de orde van de dag, zoals we in een vorige editie schreven. De meeste van de miljoenen pogingen worden onderschept door de geavanceerde virusdetectie en spamfilters van de ICT-afdeling, maar zo nu en dan komt er toch eentje door.

Account gehackt

De aanval die studente Aim en 1700 medestudenten raakte, begon op donderdag 22 oktober 2020. Nadat een andere student op een link naar een pdf-bestand had geklikt, werd zijn account gehackt en werd dezelfde mail naar ongeveer 1000 mensen verstuurd. “Omdat de mail van een echt, maar gehackt, WUR-adres kwam, werd hij door veel mensen vertrouwd,” vertelt Martijn Sueters van de Servicedesk IT. “De hackers hadden de WUR-omgeving perfect nagebouwd, waardoor het leek alsof je inlogde op de OneDrive van de universiteit. Hun doel was, denken we, om zoveel mogelijk inloggegevens te bemachtigen.”

In de afhandeling van de melding ging het niet helemaal goed. Sueters: “Helaas is de phishing e-mail pas op maandag ingetrokken. Hierdoor zijn nog drie andere accounts gehackt, maar door tijdig ingrijpen van diverse IT-medewerkers is het hierbij gebleven. Zo werd onder andere via intranet en de studentenportalen een waarschuwingsbericht verstuurd.” Overigens is het volgens Sueters handig om in Outlook de knop ‘Report Phishing’ te gebruiken. Dan detecteert Microsoft de mail meteen als phishing en verwijdert ’m automatisch.

Fraudeurs maken bij phishing gebruik van een combinatie van techniek én psychologie
Omdat de mail van een echt, maar gehackt, WUR-mailadres kwam, werd hij door veel mensen vertrouwd

Tweefactorauthenticatie

De afgelopen tijd is hard gewerkt aan dé manier om phishing en andere manieren van online fraude te voorkomen: tweefactorauthenticatie. Na aanmelden zorgt het systeem er dan voor dat er een unieke code naar je smartphone wordt verstuurd die je ter bevestiging moet invoeren. Sueters: “Hoe veilig ook, de invoering heeft voor de nodige weerstand binnen de organisatie gezorgd. Vooral bij mensen die voor iemand anders inloggen – denk aan secretaresses – kan het wat omslachtig zijn.”

Of dit systeem phishing definitief zal uitbannen, waagt Sueters te betwijfelen. “Als de eenvoudige methode van iemands wachtwoord achterhalen niet meer werkt, dan zullen ze wat meer complexe methodes proberen, zoals via een bijlage proberen om malware te installeren op het apparaat.”

Rotgevoel

Studente Aim houdt een rotgevoel over aan de aanval. “Vooral omdat ik zelf nogal verlegen van aard ben en nooit zomaar grote groepen mensen zou mailen, al helemaal geen docenten, voelde ik me te kijk staan.”

Over de hulp van de Servicedesk IT had ze weinig te klagen. “Mijn e-mailaccount was een paar uur geblokkeerd en toen ik daarna mijn wachtwoord had veranderd, kon ik alles weer gewoon gebruiken. Ik ben tegenwoordig wel voorzichtiger met het klikken op links in e-mails.” Hoewel ze uit schaamte niet met haar echte naam in het verhaal wilde, vindt Aim het wel belangrijk om mee te werken. “Ik vond eigenlijk dat de universiteit vaker voor het risico op dit soort aanvallen had moeten waarschuwen. Nu dit dan toch gebeurt, moet ik natuurlijk ook mijn verhaal vertellen.”