‘Geachte van Gameren,’, begon de mail die ik vorige week dinsdag in mijn mailbox vond. ‘We hebben uw webmailaccount geblokkeerd omdat onze service twee ongeautoriseerde apparaten heeft gedetecteerd.’ Na nog wat verontrustende info volgde de mogelijkheid om m’n webmail weer te herstellen: een hyperlink met de tekst KLIK HIER OM ACCOUNT TE VERIFIEREN. Groeten, ‘de helpdesk’.

De collega’s op de redactie blijken hetzelfde bericht in hun inbox te hebben. Onze redactie IT’er Darice ziet al snel dat het phishing is. Niemand had er nog op geklikt, gelukkig, maar het scheelde niet veel. Snel maken we melding van de verdachte mail bij de servicedesk en bij abuse@hr.nl. Al snel krijgen we een bericht terug: we zijn geslaagd voor de test. Het was een oefening.

Schoolvoorbeeld van phishing mail

Ruim duizend medewerkers van de HR trapten echter wél in de phishingmail die de beveiligingsafdeling op ze afstuurde. Dat is meer dan een vijfde van het totale personeelsbestand. De ‘score’ bij de oefening vorige week was iets beter dan bij de vorige test, in 2017, vertelt hoofd IT-beveiliging Jeffry Sleddens, toen trapte een op de vier medewerkers erin. Maar het scheelde niet veel. ‘Het is duidelijk dat dit nog steeds een torenhoog risico is voor de HR’, concludeert hij.

De mensen die op de link klikten om ‘hun account te verifiëren’ kwamen op een pagina van de HR waar werd uitgelegd dat het een oefening betrof en hoe ze de phishingmail hadden kunnen herkennen. ‘Voor ons was het een schoolvoorbeeld van phishingmail’, zegt Sleddens, ‘zo goed te herkennen dat we het er nog over hadden gehad of we hem niet wat moeilijker moesten maken.’ De oplettende kijker had bijvoorbeeld kunnen zien dat de afzender ‘hogescholrotterdam.nl’ was, met een o’tje te weinig in school. Ook het aanspreken met Geachte [Achternaam] is niet de HR-stijl.

En zo stonden er nog meer vrij duidelijke fouten in. Het was bepaald geen ‘spear-phishing’, waarbij één persoon heel gericht het doelwit is, met een mail die zeer geloofwaardig is, bijvoorbeeld een factuur van een bestaande leverancier. Onlangs nog gebeurd, op de HR.

Abuse@hr.nl nog te onbekend

Maar toch, in de drukte, snel en oppervlakkig lezend, trap je er dus soms simpelweg in. ‘Je kunt het mensen niet kwalijk nemen’, zegt Sleddens, ‘veel collega’s mailden ook meteen terug naar de afzender, soms boos omdat ze in de drukte hun webmail niet konden missen.’ Duidelijk werd ook dat het ‘loket’ abuse@hr.nl nog vrij onbekend is, veel mensen benaderden de algemene mailbox van de HR-servicedesk. Ongeveer 400 mensen wisten het juiste loket te vinden om melding te maken van de verdachte actie. De eerste deed dat binnen een paar minuten en dat is positief: in een echte situatie kan zo’n snelle melding een hoop ellende voorkomen.

Hoewel begrijpelijk dat mensen erin trappen, is het wel een serieus probleem. ‘In het Nederlandse onderwijs is nog steeds heel veel phishing mail in omloop’, zegt Sleddens. ‘De aanval met ransomware op de Universiteit Maastricht begon ook met twee medewerkers die op een phishing mail klikten. Een half jaar later, toen zaten de criminelen dus al die tijd al in het systeem, werd het systeem van de universiteit gegijzeld. Er is twee ton aan losgeld betaald. Dat “valt dan nog mee”, Kia Motors betaalde ooit 15 miljoen.’

Kruimels maken een boterham

Omdat de criminele hackers in Maastricht al zes maanden in de systemen konden, is er ook nog de kans dat ze data hebben gekopieerd waar ze later nog gebruik van kunnen maken. ‘Soms kruimels informatie, maar samen met andere kruimels heb je soms een boterham’, aldus Sleddens. Of ze beginnen een nieuwe chantagepoging met de dreiging bepaalde data op straat te gooien.

Even wakker schudden

Ook de antivirusbedrijven noemen phishing op dit moment een van de grootste bedreigingen. Juist omdat criminelen steeds vaker bedrijven en organisaties op de korrel nemen in plaats van personen (want daar is veel meer te halen, zie Kia) is het zaak voortdurend alert te zijn. ‘Het bewustzijn is zeker de helft van security & privacy’, zegt Sleddens. ‘Natuurlijk doen we wat we maar kunnen aan techniek zoals firewalls en antivirus, maar nog steeds is het een gigantisch risico.’

Daarom was het tijd om iedereen op de HR weer even wakker te schudden en de komende weken of maanden zal iedereen zijn hoofd er weer bij hebben. De komende tijd zal de afdeling privacy & security echter flink inzetten op bewustwording. ‘Het is belangrijk dat medewerkers zien hoe het hun werk raakt. We zijn bezig met e-learnings over deze soms wat saaie en droge onderwerpen, met filmpjes, quizzen, een beetje gamification.’

Studenten testen HR-systemen

De actie van vorige week was niet gericht op studenten. Die zitten op een ander deel van het HR-systeem, waardoor cybercriminelen iets minder kunnen met hun gegevens. Maar nog steeds genoeg om vervelende gevolgen te hebben, dus er wordt ook nagedacht over een campagne gericht op studenten. ‘We werken samen met het CMI security lab die ons systeem “pan-testen” en daar komen altijd weer goede punten uit. Ook een docent van de RAC gaf aan mee te willen denken. Dus misschien kunnen we met studenten van CMI en RAC deze campagne opzetten.’

Nu de oefening is afgerond en bekendgemaakt, is ook meteen een ander mysterie opgelost. De afgelopen weken postte de HR op social media regelmatig foto’s van de locatie waarop delen van een rood beest, een soort vis, te zien waren. Gisteren werd duidelijk dat het om ‘dataphish’ gaat, die op je wachtwoorden en andere waardevolle info uit is. De campagne is gemaakt door Willem de Kooning-student Maria Mombers. ‘Die vis komt zeker nog vaker terug’, aldus Sleddens.

Het blijft opletten dus.

Tekst: Edith van Gameren
Beeld: Maria Mombers/HR

Volg ons op Instagram