Foto: Joe Athialy
De mail (zie onder) leek voor ontvangers afkomstig van de ‘systeembeheerder Outlook’. Deze stelde in rammelend Nederlands dat alle gebruikers hun mailaccount binnen 48 uur moesten bijwerken, anders werd deze opgeheven. Een link bracht ontvangers vervolgens naar een externe website waar ze hun inloggegevens konden invullen. Hier was overigens nergens de naam of het logo van Wageningen UR te zien. Bovendien kwam de mail niet van het WUR-domein en stond de actie zelfs aangekondigd op intranet.
Van de in totaal vijfduizend medewerkers en studenten die het bericht ontvingen, klikten er zo’n vijftienhonderd op de link. Volgens IT kleven hieraan zelfs al risico’s omdat er schadelijke software mee kan komen. Van de ‘klikkende’ groep vulden weer circa duizend studenten en medewerkers daadwerkelijk hun informatie in. In een echt geval van phishing zouden cybercriminelen uit hun accounts informatie kunnen halen of deze kunnen benutten om spam te versturen vanaf het universiteitsnetwerk.
De IT-afdeling is geschrokken van het resultaat. ‘We hadden verwacht dat er misschien 2 procent in zou trappen,’ zegt Raoul Vernède, security manager bij IT, ‘maar de cijfers bleven maar oplopen.’ Hij wil medewerkers en studenten de komende tijd bewust maken van de gevaren van malafide mailings. Voorlichtingsbijeenkomsten moeten mensen duidelijk maken hoe je phishing herkent en waarom het gevaarlijk is. Verder is eenieder die zijn gegevens invulde direct naar een waarschuwende site geleid. ‘We hebben echter niet de illusie dat we deze 20 procent helemaal gaan terugbrengen naar nul,’ zegt Vernède. Alleen het invoeren van twee factor toegangsbeveiliging, zoals de inlogcodes en versleutelingsapparaatjes die banken gebruiken, biedt een sluitende oplossing.
Gelukkig waren veel WUR’ers ook wel op hun hoede. Zo waarschuwden studenten op Facebook voor de mail, en kwamen er bij IT honderden ongeruste mailtjes en telefoontjes binnen. Een slimmeriken hadden zelfs door dat het om een test ging: het domein dat de mailtjes verstuurde, zo ontdekten zij, bleek eigendom van de IT-afdeling.