Ten minste vijf medewerkers en vijf studenten zijn afgelopen week slachtoffer geworden van phishing, een vorm van internetfraude. Vanuit hun account is grote hoeveelheden spam verstuurd nadat ze via een link in een e-mail hun inloggegevens hadden ingevuld.
De mailtjes hadden het onderwerp ‘Service Violation : Urgent Action Required’. Volgens het bericht zou hun e-mailaccount binnen 48 uur opgeheven worden als ze hun inlogggevens niet in zouden vullen. De afzenders maakten gebruik van bestaande, en niet bestaande EUR-emailadressen, zoals van onder meer een medewerker van een universiteit in Belfast.
Wie de echte afzenders zijn, is onbekend. De schade is echter beperkt gebleven, zegt security officer Peter Oost. ICT heeft de eigenaren van de accounts waarvan vermoed werd dat ze spam verstuurden op de hoogte gesteld zodat ze hun wachtwoorden konden veranderen.
Belasting netwerk
De bedoeling van dit soort spamaanvallen is controle te krijgen over een e-mailaccount om uit naam van iemand anders spam te kunnen versturen. De afzenders die proberen met de spam geld te verdienen maken op deze manier gratis gebruik van het netwerk van de universiteit dat hierdoor enorm belast wordt. Daarnaast bezorgen ze de ICT-afdeling onnodig veel extra werk en kan het schadelijk voor de reputatie van betrokkenen.
Hoeveel studenten en medewerkers die via de bewuste mail hun inloggegevens hebben ingevuld is onbekend. ICT kan alleen misbruik constateren als er daadwerkelijk spam wordt verstuurd of als mensen aan de bel trekken dat er iets niet klopt. Peter Oost raadt degenen dan ook aan die hun inloggegevens ingevuld hebben na het ontvangen van de bewuste e-mail direct het wachtwoord te wijzigen.
Geraffineerd
“Het is een bekend fenomeen en gebeurt al jaren”, vertelt Oost. Bijna wekelijks worden spamaanvallen uitgevoerd, maar een groot deel wordt in een vroeg stadium tegengehouden door filters. Volgens de security officer worden de aanvallen steeds geraffineerder. “Maar negen van de tien keer zie je direct dat er iets niet klopt, dat ze bijvoorbeeld krom van de spelfouten staan.”
Af en toe stuurt de afdeling een mailtje rond om te waarschuwen dat je nooit je wachtwoord ergens moet invullen. “We kunnen dit nooit genoeg benadrukken.” Maar zegt hij ook, dat kunnen ze ook weer niet te vaak doen, want dan let niemand er meer op. ICT ontwikkelt nu een nieuwe bewustwordingscampagne om te waarschuwen voor zaken als phising en spam. Vorig jaar is er ook een dergelijke campagne geweest. TL