Profielen | Profielen translated
18 april 2024

Zwart logo Profielen

Onafhankelijk nieuws van de Hogeschool Rotterdam

Illustratie van een houten krat-val met een laptop er in

‘Dubbel verraad’: HR-phishing mail blijkt nep

Gepubliceerd: 13 September 2017 • Leestijd: 5 minuten en 45 seconden • Nieuws

‘Ben je tevreden?’ Zo greep de mail maandagochtend de aandacht van menig ontevreden thuiswerker. Afgelopen maandag klikten medewerkers van de Hogeschool Rotterdam massaal op een phishing mail. Grote paniek? Valt mee. De mail blijkt onderdeel van een bewustwordingscampagne.

De mail ziet er niet eens bijzonder uit. Er wordt gevraagd om een minuutje van je tijd voor zeven korte vragen over het thuiswerkbeleid van de HR. Onder de deelnemers worden iPhones en horloges verloot.

‘Thuiswerkbeleid’ is kennelijk een heet onderwerp, want halverwege de middag hebben zo’n achthonderd medewerkers op de link naar de vragenlijst geklikt. Ter vergelijking: na een maand vol herinneringen vullen zo’n drieduizend medewerkers het jaarlijkse medewerkersonderzoek in. Maar in de mails voor dát onderzoek zijn geen schadelijke bestandjes verborgen.

NIET invullen! Phishing mail

In de mail van afgelopen maandag zit malware. Althans, dat beweren de IT-ers in eerste instantie op het intranet van de hogeschool. Maandagmiddag om kwart over twee staat het er luid en duidelijk: Let Op! Phishingmail! ‘Wij verzoeken alle medewerkers dringend deze enquete NIET in te vullen, omdat dit om een phishing mail gaat die zgn. malware bevat. Door op de rode knop in de email te drukken wordt een bestand gedownload en uitgevoerd waarbij malware wordt geïnstalleerd op de pc.’

Maar… er is helemaal geen malware. Er is wel awareware. Navraag bij de HR-afdeling die zich bezighoudt met cybersecurity leert dat de hogeschool slachtoffer is van… een awarenesscampagne. Noem het een cyberbrandoefening.

En dus zijn de medewerkers van de hogeschool dubbel genept. Leefden honderden medewerkers afgelopen 48 uur in de gedachte dat ze een reuzenstommiteit hadden begaan, met mogelijk catastrofale consequenties, nu kunnen ze een soort van opgelucht ademhalen: ze zijn misschien een beetje dom geweest, maar het heeft geen gevolgen. De hogeschool heeft ze namelijk in de maling genomen. ‘Ik vul nóóit meer iets in!’, was de eerste reactie van een boze getroffen collega.

Alleen waarschuwen helpt niet

Dat niet iedereen het heel erg leuk vindt ‘slachtoffer’ te zijn van zo’n schrikbarende bewustwordingscampagne begrijpt de IT-manager van de hogeschool, Anjo van Kelckhoven. ‘Ik snap de emoties, maar die dragen juist bij aan het doel om mensen bewust te laten worden van het feit dat we in een tijdperk leven waarin dit echt gebeurt. Het gebeurt steeds vaker en de mails zijn steeds moeilijker te herkennen.’ Hij vervolgt: ‘Als ik zelf op de link had geklikt was ik ook boos geweest. Zeker als je thuis op je laptop of mobiel werkt, want daar zit je niet in de relatief gecontroleerde HR-omgeving. Als dit echt was geweest, hadden er nu wellicht gegevens van me op straat gelegen.’

Het punt is, zegt Van Kelckhoven, dat de hogeschool al jaren berichten stuurt aan medewerkers over het gevaar van listige links en bedrieglijke bijlagen in malafide mails. Maar het helpt niet. ‘Nu voelt iedereen wat het doet en wat het betekent.’

4277 medewerkers gemaild

En dus zette een medewerker van Van Kelckhoven een campagne op, samen met beveiligingsbedrijf FoxIT uit Delft, om te onderzoeken hoe oplettend de medewerkers van de HR zijn en hoe scherp de IT’ers van de hogeschool op een massale dreiging reageren. Zo kregen maandagochtend om negen uur 4277 medewerkers de uitnodiging voor de enquête toegestuurd.

Op de hele hogeschool weten op dat moment precies zeven mensen van deze actie. Vijf IT’ers, hun directeur en de voorzitter van het college van bestuur – die is hoogstpersoonlijk geïnformeerd, omdat zijn mails immers ook door zijn secretaresse worden gezien.

De samenzweerders hebben hun best gedaan om de mail echt te laten lijken, maar ook weer niet té. Zo zit er geen HR-logo in. ‘Maar de knop waar mensen op moeten klikken om de enquête te openen is wel in het HR-rood’, zegt René Arends, beveiligingsspecialist van de hogeschool.

Afzender moest vragen oproepen

De afzender van de mail is ‘Questionnairesweb namens Hogeschool Rotterdam, <noreply@questionnairesweb.com>’, hetgeen wel vragen zou moeten oproepen. En wie op de link klikt, krijgt de vraag om een bestand te downloaden. Als je dat doet en het ook opent, kom je bij de beloofde zeven vragen over thuiswerken. Daarna kunnen medewerkers die een iPhone willen winnen hun emailadres achterlaten.

Na het openen van het bestand is echter ook hun pc besmet.

Nooit bestanden downloaden en nooit bestanden openen, nooit, nooit, nooit. Dat willen de IT’ers alle medewerkers op het hart drukken. Zeker nadat zovelen dat maandag hebben gedaan. Van Kelckhoven: ‘Bekijk altijd de afzender van de mail, klik niet op links, vraag jezelf af of je een mail verwacht en vraag het na bij de servicedesk als je twijfelt. En nooit, echt nooit bestanden uit een mailtje uitvoeren.’

Stuk of tien helden

Bij een enkele collega ging wel op tijd een alarmbel af. Zoals bij communicatiedeskundige Desiré de Jong. ‘Wie is de afzender van deze mail?’, schrijft ze om kwart voor tien op het interne berichtennetwet Yammer.

Ongeveer tegelijkertijd stuurt RAC-medewerker Ron Heekelaar een wantrouwende mail naar de servicedesk. Die reageert een half uur later: dit is niet van de HR. Goed dat je ons mailt om het te controleren.

Zo zijn er binnen een uur ‘een stuk of tien’ reacties van mensen die het niet vertrouwen, vertelt René Arends. ‘Dat was mooi om te zien.’

Om 11.00 uur, 450 kliks

Ondertussen klikken elders hele afdelingen door naar de enquête. Om elf uur hebben 452 mensen het bestand gedownload en 385 hebben het open geklikt. ‘Als dit echte ransomware was geweest, zoals bijvoorbeeld de WannaCry-aanval uit het voorjaar, dan zou het netwerk van de hogeschool nu wel plat hebben gelegen’, zegt Jeffry Sleddens, IT-adviseur en lid van het complot.

Arends is tevreden over de ijver waarmee de mail door zijn onwetende IT-collega’s wordt opgepakt. ‘Het bestandje dat we mensen hebben laten downloaden bevat voor een deel code die ook in echte malware voorkomt. Ik zag al snel collega’s die het bestand analyseerden en zagen dat het om een veelvoorkomende vorm van malware ging. Anderen melden het bestand direct aan bij virusscanners of onderzochten het domein van de afzender.’

Roet in het eten

Bijna hadden zijn collega’s zelfs het hele experiment binnen twee uur om zeep geholpen. Om elf uur al bedacht een collega dat hij de link uit de mail zou kunnen blokkeren, zodat niemand binnen de HR nog besmet zou kunnen worden. De leden van het complot hebben dat nog even kunnen uitstellen, maar om half twaalf moesten ze hun collega’s van de afdeling die zich bezighoudt met IT-veiligheid echt wel over de campagne inlichten.

En toen medewerkers van de servicedesk op het punt stonden om alle geïnfecteerde computers volledig op te gaan schonen, moesten de samenzweerders ook even ingrijpen. Ze mailden de servicedesk dat het hen al was gelukt om de malware op afstand te verwijderen. ‘Anders hadden ze er wel erg veel werk aan gehad’, zegt Sleddens.

Het einde van de massamail?

De komende weken gaan Van Kelckhoven en zijn samenzweerders de cijfers analyseren. (Alle gegevens zijn anoniem, benadrukt hij nog: niemand weet welke medewerkers precies op de malware hebben geklikt.) En dan komen de vragen. Waren de IT’ers snel genoeg in hun reactie? Heeft het zin om een waarschuwing op intranet te plaatsen, of moet er na dergelijke aanvallen een mail naar alle medewerkers? En moet de hogeschool in de toekomst nog wel massamails sturen met links erin?

Maar dat is voor later. Nu mag iedereen eerst even genieten van de gedachte dat er géén gegevens op straat zijn komen te liggen, geen systemen zijn gekaapt, geen mailadressen of wachtwoorden zijn verloren en geen studenten zijn opgelicht.

Ron Heekelaar moet eerst lachen als hij hoort dat de mail deel is van een campagne. ‘Dat verklaart ook waarom ze dat bericht pas ergens in de middag (om 14:15 uur, OL) op Hint zetten.’ En: ‘Ik denk dat het wel nodig is, dit soort acties. We hebben nogal wat persoonlijke gegevens op onze hogeschoolcomputers staan.’

Desiré de Jong vind het wel slim, ‘maar je denkt nu toch wel twee keer na voordat je nog eens iets opent dat van de hogeschool komt. Maar als FIT het doel goed duidelijk kan maken, is dat misschien een noodzakelijke prijs om te betalen.’

Maar het is wel heftig. Na 24 uur stond de teller op 959 kliks, 805 downloads en 684 mensen die het bestand daadwerkelijk hebben geopend. ‘Natuurlijk proberen we vanuit IT iedereen te beschermen’, zegt René Arends, ‘maar de gebruiker is toch de zwakste schakel’. Hij is, beaamt hij net als de andere IT’ers, flink geschrokken van deze cijfers. Zo is dit voor hen ook een stukje awareness.

Olmo Linthorst

Update: De IT’ers van de hogeschool plaatsten vanmiddag een uitleg op Hint over hun campagne (inlog).

Reacties

Laat een reactie achter

7 Responses to ‘Dubbel verraad’: HR-phishing mail blijkt nep

  1. Goeie grap! Ook vanuit projectgroep privacy voortdurend gehamerd op alertheid en wantrouwen: ruw volk daarbuiten!

  2. Wat een leuke & goede actie! Complimenten voor de bedenkers & doorzetters die het hebben aangedurfd om dit uit te voeren.

  3. Goede actie, inderdaad! Het probleem is echter dat onderdelen van de HR soms wel enquêtes via externe websites (zoals Google Forms/Surveys) doen, en dat sommige IT diensten van de HR zoals de personeelsadministratie YouForce op externe websites lopen. Daarom is het voor HR medewerkers moeilijk om veiligheidsrisico’s te herkennen als ze verzoeken tot invulling van externe websites ontvangen.

  4. Florian schrijft “dat onderdelen van de HR soms wel enquêtes via externe websites (zoals Google Forms/Surveys) doen”. Ik weet dat dit gebeurt, maar dit is niet zoals het zou moeten. Voor het uitzetten van door instituten en diensten georganiseerde enquêtes hebben we binnen de Hogeschool diverse applicaties beschikbaar zoals bijvoorbeeld Evasys.
    Al deze applicaties draaien intern op het Hogeschool netwerk waardoor in ieder geval een aantal security en privacy issues zijn afgedekt.

  5. Ik heb inderdaad op de link geklikt en zag foutmelding dat het niet op een Mac werkte Ik dacht nog, sukkels! En heb de mail verwijderd. Ik heb inderdaad ook eerder enquêtes binnen de HR via externe websites ontvangen. Zou overigens nooit een bestand gedownload hebben.

  6. Hele goede zaak. Heb zelf niet op de mail geklikt omdat ik het niet vertrouwde. Ben wat alerter hierop omdat ik ooit slachtoffer ben geweest van phishing mail, dan ben je extra wantrouwig. Moeten jullie vaker doen. Zet de boel op scherp. Snap dat sommige mensen boos waren, maar het zou veel erger geweest zijn als het echte phishing mail was geweest.

  7. Heb een hekel aan spamenquetes, doe dan ook bijna nooit mee. Maar nu ga ik helemaal nooit meer een enquete invullen. Denk deze averechtse werking alleen nog maar meer remindermails (spam) zal triggeren.

Spelregels

De redactie waardeert het als je onder je eigen naam reageert.

  1. Comments worden door de redactie gemodereerd. 's Avonds en in het weekend gebeurt dat niet standaard, en kan het dus langer duren voor je opmerking online komt.
  2. Houd het netjes, beschaafd, vriendelijk en respectvol. Niet vloeken of schelden.
  3. Dwaal niet af van het onderwerp (blijf ‘on topic’).
  4. Wees kort, duidelijk en maak een punt.
  5. Gebruik argumenten, geen uitroepen.
  6. Geen commerciële boodschappen.
  7. Niet op de persoon spelen.
  8. Niet discrimineren, aanzetten tot haat of oproepen tot geweld (ook niet voor de grap).
  9. Van bezoekers die een reactie achterlaten op de site wordt automatisch het IP-adres opgeslagen.
  10. De redactie geeft reacties die dreigende taal bevatten door aan de veiligheidscoördinator van de Hogeschool Rotterdam.

Lees hier alle details over onze spelregels.

Back to Top