Bijna één op de drie medewerkers van Avans klikt op phishing mails. Dat blijkt uit een test van het Computer Security Incidents Response Team van Avans.
Bij phishing proberen criminelen identiteitsgegevens zoals inlognaam, wachtwoord, pincode of creditcardgegevens via de mail te achterhalen.
Als test werden er drie mails gestuurd naar in totaal 4.500 mailadressen. De mails zijn gebaseerd op echte phishing mails die er bij Avans binnenkwamen. Eén mail was duidelijk nep van een extern Gmail account en had veel schrijffouten (240 clicks). De tweede mail was lastiger te herkennen omdat deze van een niet bestaand @avans.nl adres kwam en netter geschreven was (490 clicks). De derde mail was een bijna niet van echt te onderscheiden mail van postmaster@avans.nl, een adres dat vaker gebruikt wordt door Avans (487 clicks).
Bewustwording
‘We waren benieuwd hoeveel mensen er op de mails in zouden gaan’, vertelt ICT-ontwikkelaar Peter Havekes bij de Diensteenheid ICT en Facilitaire Dienst (DIF). ’Het doel is om mensen bewust maken van phishing. Er is al veel aandacht voor in voorlichtings-spotjes van de overheid, wij wilden weten of dat effect heeft gehad.’
155 medewerkers waren alert en maakten melding van de mail. Bij de servicedesk kwamen 80 telefoontjes en 75 e-mails binnen over de mailtjes. In totaal klikten 1.217 mensen op de link in de mail. Dat valt tegen zegt security manager Ad van Dreumel van DIF. ‘Alleen al op een link klikken kan genoeg zijn om besmet te raken met een virus. Het aantal mensen dat op een link geklikt heeft viel daarom erg tegen.’
Groot belang
De test was volgens het security-team van groot belang. Dagelijks vinden er volgens Havekes phishing- en spamaanvallen plaats bij Avans. ‘De meeste daarvan worden door de spamfilters opgevangen, maar het is toch belangrijk dat medewerkers en studenten goed opletten.’
Ongelukkig moment
De tijd voor de test lijkt misschien ongelukkig gekozen omdat er veel gaande is met de overgang van het Groupwise-mailsysteem naar Outlook. Maar volgens Havekes was dit juist het moment om de test uit te voeren. ‘Criminelen maken juist gebruik van kwetsbare momenten, zoals bij de mailmigratie van Avans, om phishingmails te versturen. Ze trekken zich er niets van aan of het de goede tijd is of niet.’
Tips van de heren: kijk goed waar een link naartoe gaat. Als dat een http-verbinding is in plaats van een beveiligde https-verbinding, of een door jou vertrouwde site als avans.nl, klik dan niet. Meer tips en info over phishing vind je op de speciale site. Als je spam ontvangt, kun je dit doorsturen naar abuse@avans.nl.
eric
ik heb hem nog en kan hem opsturen
Arald
Als de mails echt lijken is bijna niet te voorkomen dat mensen klikken. Van je bank weet je dat ze nooit mail sturen (en ben je alert). Bij mail van je werk is dat anders. Op een mobieltje is het daar naast lastiger links te checken.