Zo’n zevenduizend EUR-studenten ontvingen twee weken geleden zo’n e-mail in hun inbox. Ongeveer 10 procent van hen klikte op de kwaadaardige link in de phishingmail. Bij minstens zes van hen werd het wachtwoord van hun studentenaccount buitgemaakt.
Sommige studenten ontvingen een mail die een Excelsheet als bijlage leek te bevatten. In werkelijkheid was dat geen Excelbestand maar een link naar een website met een Office 365-achtig inlogformulier. Als de studenten daarop hun e-mailadres en wachtwoord invulden – in de veronderstelling het bestand te kunnen zien – bemachtigden de aanvallers hun wachtwoord. Andere studenten ontvingen een ’bijlage’ die leek te komen van het softwarebedrijf Citrix. Deze mail bedonderde de studenten op een vergelijkbare manier.
Mail gaat viraal
Als een e-mailadres gehackt is, wordt vaak de contactenlijst gebruikt om het virus verder te verspreiden, vertelt ethische hacker Sijmen Ruwhof, die de phishingmails op verzoek van EM bestudeerde. De gevonden mailadressen worden vervolgens gebruikt om andere studenten de phishingmail te sturen.
Daarbij stuitten de aanvallers vermoedelijk per ongeluk op een mailinglist voor alle studenten die in 2019 begonnen aan hun studie. Daardoor ging de mail viraal en belandde hij in zevenduizend inboxen. Deze mailinglist hoorde niet bereikbaar te zijn voor iedereen en is inmiddels afgesloten.
‘Mijn laptop gaf een waarschuwing’
Een van de studenten die het slachtoffer werd van de phishingaanval vertelt wat haar overkwam. “Ik ontving een e-mail van een directeur van een externe instelling, waar ik weleens voor gewerkt had. Daardoor vertrouwde ik het wel. Toen ik de bijlage wilde openen gaf mijn laptop een waarschuwing dat de link niet pluis was. Toen heb ik de e-mail gauw weg geklikt en verwijderd.”
Ze zegt dat ze nooit een formulier heeft ingevuld met haar mailadres en wachtwoord. De studente kreeg vervolgens twee dagen lang helemaal geen e-mails, en hoorde van ‘erg veel’ medestudenten dat ze de phishingmail van haar hadden ontvangen. Het is onduidelijk voor welk deel van de e-mails deze studente ‘verantwoordelijk’ is.
De studente wil graag anoniem blijven. Haar naam is bij de redactie bekend.
Beveiliging
De aanval vond plaats in de week van 25 oktober. Rory O’Connor, chief information security officer van de EUR, merkte aanvankelijk dat er een ‘password spraying’-aanval gaande was. Daarbij probeert een aanvaller hetzelfde wachtwoord op heel veel EUR-accounts tegelijk uit. Vervolgens bleken er vijf accounts gehackt te zijn. Daarna gingen er in elk geval twee phishingmails rond.
Tegen phishing bestaan allerlei beveiligingen, waarvan de EUR er een aantal toepast. De universiteit gebruikt een systeem genaamd Safelinks, dat phishinglinks in e-mails zou moeten blokkeren. Toch glipten deze kwaadaardige links door het systeem. “Dat komt omdat deze links nog niet bekend stonden als phishingsites, ze waren speciaal voor de EUR gemaakt”, legt O’Connor uit. “Ze zijn nu door Microsoft toegevoegd aan de zwarte lijst en het bedrijf dat de phishingwebsites beheert is gevraagd om de nep-inlogformulieren te verwijderen.” Als er nu op de links geklikt wordt, verschijnt er een lege pagina.
De EUR gebruikt ook domeinnaambeveiliging als verdedigingsmechanisme, weet Ruwhof. “Dat voorkomt dat onbevoegden zich, met een mailadres dat eindigt op eur.nl, kunnen voordoen als iemand de universiteit. Dat kan normaal gesproken wel: het e-mailprotocol stamt uit een tijd dat criminaliteit nog geen issue was op internet. Daardoor is er nauwelijks beveiliging ingebouwd.” Met een zogenaamd SPF-record kunnen mensen nog wel mailen namens de EUR, maar die mail verdwijnt dan automatisch in je spamfilter.
Reddingsboei ontbreekt
Een andere reddingsboei had multi-factor authentication (MFA) kunnen zijn, maar die heeft de EUR nog niet geactiveerd voor e-mailboxen van studenten. MFA is een beveiliging waarmee je naast een wachtwoord nog op een andere manier moet aantonen dat jij de eigenaar van het account bent, bijvoorbeeld door middel van een code die naar je e-mail of telefoon verstuurd is.
Die beveiliging is er wel voor medewerkers, maar nog niet voor studenten. “Dat is een hele grote groep, en MFA moeten we heel zorgvuldig invoeren”, verklaart O’Connor. Op welke termijn deze beveiliging voor studenten beschikbaar is, kon hij nog niet zeggen.
Volgens Ruwhof is het heel belangrijk om MFA snel in te voeren. “Zeker voor e-mail. Als een hacker daar toegang tot krijgt, kan hij vaak in nog veel meer accounts van het slachtoffer komen.”
Enige universiteit
Voor zover O’Connor weet, is de EUR de enige universiteit die het doelwit was. “Daarover hebben we altijd contact via SURF, het IT-samenwerkingsverband van universiteiten. Maar bij de andere universiteiten was niets bekend. Daaruit maak ik op dat we de aanval op tijd gestopt hebben.”
De universiteit heeft contact opgenomen met de cybercrime-eenheid van de politie Rotterdam, zodat die eventueel kan achterhalen wie er achter de aanval zit. “De ervaring leert echter dat je dat meestal niet te weten komt”, weet O’Connor.
Ook het motief van de aanval is nog onduidelijk. “De aanvallers richtten zich op het verzamelen van inloggegevens. Omdat we de aanval vroeg konden stoppen, is het niet duidelijk wat de aanvallers in tweede instantie zouden doen.” Dat kan gaan om het verkrijgen van gevoelige, wetenschappelijke informatie of een aanval met ransomware.
Niet zomaar klikken
Je kunt een aantal dingen doen om te voorkomen dat je slachtoffer wordt van phishing, vertelt Ruwhof. “Klik in elk geval nooit zomaar op een link. Ga er eerst met je muis overheen om te zien waar de link naartoe gaat. En vraag je af: waarom krijg ik deze mail? Het is heel stom, maar één klikje kan je ergens brengen op internet waar je niet wil zijn. Dan val je vroeg of laat ten prooi aan criminele hackers.”
Mocht je toch het idee hebben dat je de sigaar bent, neem dan contact op met de servicedesk van de universiteit, raadt O’Connor aan. “Dan kunnen we snel ingrijpen en de aanval stoppen voordat het erger wordt.”