Een van de phishing-mails die medewerkers van de universiteit het afgelopen jaar ontvingen, blijkt verzonden door het Central Information Office (CIO) van de universiteit. Een phishing-mail is een soort virus: de mail lijkt van een betrouwbare bron te komen, maar is stiekem afkomstig van iemand met kwaadaardige bedoelingen, zoals het installeren van een virus of het stelen van informatie van de computer van de geadresseerde.
De universiteit stuurde de mail in mei aan zo’n tweeduizend medewerkers om te meten hoeveel medewerkers in phishing zouden trappen. Dat bleken er meer dan gehoopt. Chief Information Security Officer Dado Grozdic vertelt over het hoe en waarom van het experiment.
Waarom deed de universiteit een phishing-test op haar eigen mensen?
“Een van de meest voorkomende cyberthreats voor organisaties is een phishing-aanval. Wereldwijd is zo’n 75 procent van de organisaties er weleens slachtoffer van, en bij 95 procent daarvan is die aanval ook succesvol. Ook bij de Erasmus Universiteit zijn er zulke aanvallen geweest.”
Kunt u een voorbeeld noemen van een succesvolle phishing-aanval op de EUR?
“We doen om veiligheidsredenen nooit uitspraken over specifieke aanvallen, of de mate waarin die succesvol waren.
Waarom zijn universiteiten interessante doelwitten voor dit soort aanvallen?
“Op universiteiten ligt interessante informatie: ten eerste natuurlijk al de persoonsgegevens over duizenden studenten en medewerkers, maar ook waardevolle wetenschappelijke informatie.”
In maart vorig jaar waren er berichten dat Iraanse hackers met phishing Nederlandse universiteiten aanvielen, was de Erasmus Universiteit daar ook het slachtoffer van?
“Daar kan ik uit veiligheidsoverwegingen niet op ingaan.”
(het verhaal gaat verder onder de taartdiagram)
Het experiment is uitgevoerd in samenwerking met het ict-beveiligingsbedrijf Fox IT. Ongeveer tweeduizend willekeurig gekozen medewerkers op de campus ontvingen op 22 mei de mail, met daarin een uitnodiging om een enquête in te vullen voor een tevredenheidsonderzoek. Fox IT registreerde daarvoor het domein survey-eur.nl (niet meer beschikbaar) en mailde daarvandaan, zodat het voor de onoplettende lezer leek alsof het vanuit de universiteit afkomstig was.
Van de 1929 gemailde medewerkers opende 71 procent zijn mail niet. 9 procent stuurde een out-of-office-reply en een op de vijf medewerkers klikte daadwerkelijk op de malafide link in de mail. Iets minder dan de helft daarvan downloadde en startte de applicatie. Over het geheel genomen was uiteindelijk 9 procent van de hele groep ‘geïnfecteerd’, blijkt uit het officiële rapport van Fox IT.
Hoe kon Fox IT zo eenvoudig door jullie beveiliging tegen spam breken?
“We hebben het Fox IT wat makkelijker gemaakt: onze e-mailbeveiligingssysteem zouden normaal gesproken zo’n mail waarschijnlijk tegenhouden, maar dit keer niet. Ook hebben we ze geholpen met het namaken van onze huisstijl. Wel zitten er allerlei ’triggers’ in de mail die de medewerkers zouden moeten waarschuwen dat het om een phishing-mail gaat: de domeinnaam klopt niet, er moet een vreemd bestand (een html application) gedownload worden. Als je dat uitvoert krijg je een waarschuwing dat het om een potentieel gevaarlijk bestand gaat.”
Waarom is voor dit scenario gekozen?
“Mensen zijn snel geneigd om op zo’n enquête te klikken. Het komt op geen enkele manier bedreigend over, en het zijn geen moeilijke vragen. De html-applicatie is juist een signaal: het is iets wat je niet vaak tegenkomt, dat is gelijk een test om te zien of je daar als gebruiker in meegaat.”
‘Het moet echt beter, we willen er uiteindelijk naartoe dat het aantal infecties met 95 procent omlaag gaat’
Wat vindt u ervan dat 9 procent er geheel en 20 procent er gedeeltelijk in getrapt is?
“Uit wereldwijd phishing-onderzoek blijkt dat ongeveer 30 procent zijn mail opent, en dat 12 procent het kwaadaardige bestand opent. Dan zitten wij met 9 procent nog redelijk goed. Maar dat is nog te hoog. Het moet echt beter, we willen er uiteindelijk naartoe dat het aantal infecties met 95 procent omlaag gaat.”
Hoe gaat de universiteit dat voor elkaar krijgen?
“Er komen nu in ieder geval nog minder mails door het e-mailbeveiligingssysteem. Met behulp van trainingen willen we het komende jaar de alertheid van medewerkers vergroten. We gaan bijvoorbeeld demonstreren hoe zo’n phishing-aanval in zijn werk gaat, door op een scherm te tonen wat zowel het slachtoffer als de dader doormaakt tijdens zo’n aanval, en dus hoe makkelijk je ten prooi kan vallen aan kwaadwillenden.
“Ook zijn we een campagne aan het opzetten om mails ‘linkloos’ te krijgen. En we willen natuurlijk het goede voorbeeld geven: de nieuwsbrieven van het CIO zijn al helemaal zonder links. Dat is nu een groot probleem: mensen zijn nou eenmaal geconditioneerd om overal op te klikken, daar moeten we vanaf. We moeten meer zelf informatie opzoeken, zelf naar de site van de verzender gaan.”
Hebben jullie de ‘slachtoffers’ ook nog op de hoogte gesteld dat ze in het ootje genomen zijn?
“We hebben alle informatiemanagers (contactpersonen op het gebied van ict en informatievoorziening bij de faculteiten, ES) op de hoogte gesteld, die hebben het intern weer verspreid. Dat zou in mei of juni gebeurd moeten zijn. Uiteraard zijn de slachtoffers niet echt geïnfecteerd.”
Moeten medewerkers zich bij een volgende phishing-mail afvragen of die weer van jullie afkomstig is?
“We zijn voorlopig niet van plan om nog een keer zo’n experiment te doen, dat heeft ook geen zin. We willen ons in 2019 richten op het trainen van medewerkers, wellicht dat we daarna het experiment nog eens herhalen om te zien of de resultaten verbeterd zijn”