In juni vorig jaar schreef ik een column over een e-mail die ik van onze security officers kreeg. Ik was daar kritisch over, omdat het ging over een datalek dat niet zo spannend was. Die column leidde tot een reactie van onze Chief Information Security Officer (CISO) Martin de Vries, die mij publiekelijk terecht wees om niet te licht over cybersecurity te denken.

Natuurlijk had hij een punt. Hij haalde dan ook terecht aan dat je elke e-mail goed moet controleren op phising. Ik citeer: 'controleer het e-mailadres van de afzender, controleer eventuele links in het bericht door met de muisaanwijzer over de link te gaan, is er enige urgentie in het bericht?' Zo heb ik ook mijn ouders geleerd om met e-mails om te gaan: Vertrouw nooit e-mails die van een onbekende afzender komen, die niet persoonlijk aan jou gericht zijn en waarin links staan waarop je moet klikken. Om dit nog duidelijker te maken zet Outlook er tegenwoordig ook een waarschuwing boven: 'you don’t often get e-mail from …' met een linkje waarom dat belangrijk is. Mijn vader belt mij bij twijfel en dan kijk ik even mee.

Toen ik onlangs terugkwam van twee weken vakantie had ik enkele tientallen mails met als onderwerp: 'reminder mail for an invoice for approval' in mijn mailbox. Verstuurd vanuit 'invoicing@esize.nl' en niet gericht aan mij persoonlijk, maar simpelweg een mail met een knop 'login', waarvan de link naar een obscure externe URL wijst. Als ik de richtlijnen van de CISO moet volgen, dan gaan deze mails regelrecht als bijlage naar abuse@remove-this.tue.nl, helemaal omdat ze alle twintig voorzien waren van de waarschuwing'“you don’t often get mails from …'.

Nadat ik eerder dit jaar de eerste paar mails netjes gemeld had, weet ik inmiddels beter. Dit zijn officiële mails vanuit ons facturatiesysteem. In tegenstelling tot alle andere urgente mails zonder aanhef van vreemde adressen met 'klik hier' knoppen, moet ik bij deze mails wel gewoon op 'login' klikken, om vervolgens doorgeleid te worden naar een domein buiten de TU/e, waar ik blijkbaar wel ingelogd ben met mijn TU/e gegevens, om daar vervolgens de facturen goed te keuren.

Toen ik dit met wat collega’s besprak stelden zij voor om zelf een mooie phishing mail rond te sturen. Een mooie kopie van deze mails, met een login knop die omgeleid wordt naar een neppe pagina waarmee ik dan logins van collega’s kon verzamelen. Nu ben ik zelf altijd wel in voor een grapje, maar dit ging me net te ver.

Daarbij heeft dr. Pavlo Burda eerder dit jaar al laten zien dat zo’n actie van mijn kant vrij snel gerapporteerd zou worden aan het Computer Emergency Response Team van de TU/e en dan zou Martin weer in de pen moeten klimmen om mij via Cursor terecht te wijzen.

Boudewijn van Dongen is professor Process Analytics aan de TU/e. Hij schrijft deze column op persoonlijke titel.