Pas op voor phishing na Canvas-hack

Hackers dreigen dinsdag 6 mei de gegevens van 275 miljoen studenten en docenten te lekken. Ook zeven Nederlandse universiteiten en zeker twee hogescholen zijn getroffen. Wat is het gevaar?

Studenten en medewerkers zijn inmiddels op de hoogte gebracht van de hack bij Canvas, een online omgeving die veel onderwijsinstellingen gebruiken. Voor zover bekend hebben hackers naam, emailadres en studentnummer gestolen, plus de berichten die binnen Canvas zijn verzonden.

Het verdienmodel van de hackers is simpel: ze eisen losgeld voor de informatie. Als ze geen geld krijgen, zetten ze informatie op het dark web, zodat oplichters ermee kunnen doen wat ze willen.

‘Klik hier…’

Studenten kunnen dus gevaarlijke mails gaan krijgen die gebruik maken van hun studentnummer en emailadres. Daardoor kunnen de phishingmails aannemelijker klinken. Bijvoorbeeld: je inschrijving is nog niet volledig, klik hier om je gegevens aan te vullen. Of: je hebt een betaling van het collegegeld gemist, klik hier om het alsnog over te maken. Als je klikt, kom je op een gevaarlijke website uit.

Er zijn verschillende websites die uitleggen hoe phishing werkt. De Vrije Universiteit Amsterdam (een van de getroffen instellingen) heeft op haar eigen website een aantal kenmerken op een rijtje gezet.

‘Doe het nu’

Let altijd op de afzender, is een van de tips. De afzender kan zichzelf ‘Afdeling administratie’ noemen, terwijl het emailadres niet van je eigen onderwijsinstelling is. Verdachte links kun je checken op de website checkjelinkje.nl.

Ook zetten phisingmails vaak druk: doe het nu, pas op voor boetes, je account wordt gesloten, laatste kans… Trap daar niet in. Het omgekeerde kan ook gebeuren: goed nieuws, klik hier voor gratis spullen, kijk voor alle informatie op deze OneDrive… Vervolgens moet je inloggen of geld overmaken.

De overheid heeft ook een website over veilig internetten. Daar staat onder meer een waarschuwing voor domeinen die bijvoorbeeld de letter o door het getal 0 vervangen of de letter l door het getal 1. Dan staat er bijvoorbeeld h0gesch00l of Ti1burg University.

‘Houd je van…?’

Oplichters kunnen nog gerichter te werk gaan en informatie van sociale media combineren met gelekte data. Als je aan korfbal doet, krijg je bijvoorbeeld een mailtje over een korfbalwedstrijd voor studenten. Dankzij AI kunnen oplichters spamberichten gaan personaliseren.

Blijf hoe dan ook alert. Om anderen te helpen, kun je valse mails melden bij de IT-afdeling van je onderwijsinstelling.