39 procent van de TU/e trapt in nep-phishingmail
39 procent van de mensen op de TU/e heeft op een phishingmail geklikt. Gelukkig ging het om een test van Chief Information Security Officer Martin de Vries en zijn team, bedoeld om meer bewustwording te creëren over cyberveiligheid op de universiteit. Het hoge percentage geeft volgens hem aan dat er nog veel moet gebeuren op dat gebied.
Sinds januari zijn er enkele maanden lang phishingmails verstuurd naar studenten en werknemers van alle faculteiten en diensten op de universiteit. 39 procent van hen heeft vervolgens iets met die mail gedaan, zoals de mail beantwoord, doorgestuurd of op de link geklikt. Er zijn weinig verschillen tussen studenten en werknemers, en tussen de verschillende faculteiten en afdelingen. De Vries zegt: “Dit percentage is natuurlijk te hoog, eigenlijk over de hele linie. Dus er is werk aan de winkel.”
Phishing is een manier waarop cybercriminelen proberen gegevens te verkrijgen. “Phishingmails zijn dé manier waarop een medewerker gegevens kan verliezen, zijn login deelt met criminelen of besmet raakt met een virus of andere malware.” Criminelen kunnen vervolgens dieper in het netwerk van de universiteit doordringen of met ransomware het netwerk platleggen en pas weer vrijgeven nadat er een fors geldbedrag is betaald. “Dit gedrag brengt risico’s met zich mee voor de cyberveiligheid van de universiteit.”
Tekst loopt door onder foto.
Training
Studenten en medewerkers die in de phishingmail zijn getrapt, hoeven zich niet te schamen of bang te zijn voor consequenties, volgens De Vries. “Iedereen kan hierin trappen. Zie dit als een training en leer ervan.” De test is dan ook voornamelijk bedoeld om meer inzicht te krijgen in de cyberveiligheidskills van studenten en werknemers. De komende tijd zal gewerkt worden aan trainingen en campagnes om het percentage dat in phishingmails trapt, te verlagen.
“Dit resultaat is een van de indicatoren waarmee we uiteindelijk onze campagnes en trainingen gaan vormgeven. Voor mij is dit een goede graadmeter, omdat het inzicht geeft in het gedrag van mensen”, zegt De Vries.Studenten en werknemers kunnen alvast meehelpen door een vragenlijst in te vullen over hun eigen gedrag en de cyberveiligheidscultuur op hun faculteit of afdeling.
“Wat we daarmee proberen inzichtelijk te krijgen, is of gebruikers foutief en verdacht gedrag kunnen herkennen, hoe het met hun cyberveiligheidsvaardigheden staat, maar ook hoe er bij verschillende faculteiten en diensten met cyberveiligheid wordt omgegaan. Wordt er überhaupt over gepraat, bijvoorbeeld?”
Geklikt
De Vries denkt dat eigenlijk iedereen wel weet dat ze niet op een phishingmail moeten klikken. “Toch gebeurt dat weleens, vooral als iemand het heel druk heeft. Neem dan ook de tijd om naar een mail te kijken en probeer het niet af te raffelen”, zegt De Vries.Voor verdachte e-mails bestaat er in iedereens Outlook een report-message-knop. De e-mail kan ook doorgestuurd worden naar abuse@. tue.nl
Mensen die toch op een phishingmail hebben geklikt, wat volgens De Vries met enige regelmaat gebeurt, moeten dat direct aan de service desk melden. “Dan kijken we of je laptop besmet is geraakt en kunnen we snel het account resetten.”
De phishingtest
Twee voorbeelden van phishingmails uit de test onder de TU/e gemeenschap. Belangrijke herkenningspunten zijn in dit geval de links, waarbij je niet kan zien waar ze naartoe leiden, de algemene aanhef in plaats van een specifieke naam en de gehaaste vormgeving. Meer informatie over hoe je phishingmails kan herkennen? Klik dan hier (ja, dit is veilig). | Foto's: TU/e
Discussie