Er gaat niets boven Groningen, maar de alertheid bij universiteitsmedewerkers op phishingmails is bedroevend laag. Dat blijkt uit een test met een nep-phishingmail die naar 6000 medewerkers is verstuurd.

Een derde geeft wachtwoord prijs

Van de 3000 medewerkers die de mail daadwerkelijk lazen, klikte maar liefst 2800 op een toch wel verdachte link. Vervolgens voerde daarvan 1000 medewerkers ook nog eens hun e-mail, personeelsnummer en wachtwoord in op een site die was aangekleed in de RUG-huisstijl, maar op een wildvreemd domein, nota bene dontjustclick.com, speciaal voor de test opgetuigd.

Screenshot van nep-RUG pagina op Dontjustclick.com

De mail bevatte het logo van de RUG en leek afkomstig van de IT-afdeling, met de melding om urgent data te redden omdat de grootte van de mailbox is verkleind. De link is verdacht, weliswaar is de hypertext rug.nl/500mb, maar wie over de link heen zweeft ziet een compleet andere url, die uitkomt op de nepsite.

Genant

Hier voerden 1000 medewerkers hun gegevens inclusief wachtwoord in. “Toen ik dat aantal hoorde, schrok ik best wel. Je mag er toch van uit gaan dat mensen op de universiteit enig verstand hebben van e-mail en daar kritisch naar kijken”, reageert Mathieu Paapst, zelf ook werkzaam bij de RUG. Hij trapte er niet in, maar geneert zich enigszins voor zijn collega’s.

De nep-phishingmail van de RUG. Zie grotere afbeelding.

Paapst vond de inhoud ongeloofwaardig, zeker door de zogenaamde urgentie. “Wat is dat voor onzinmail met een mailbox die plots teruggaat naar 500 MB. Vervolgens moet je ook nog op een link klikken, en die leidt naar een vreemd domein.”

Maar voor de meesten was de inhoud dus geen red flag. “Op zich was het niet een hele vreemde mededeling, en opgemaakt in de vertrouwde huisstijl. Dat wekte veel vertrouwen op”, aldus de woordvoerder van de RUG in een reactie.

Alarmbellen

Toch was aan de afzender te zien dat het niet afkomstig was van de officiële IT-afdeling, al zijn afzenders makkelijk te spoofen. Maar vooral bij de link en het vreemde domein moeten alarmbellen afgaan. “De mail zou wel wat wenkbrauwen moeten doen fronsen.”

Desondanks was de zegsman er zelf toch ook bijna ingetrapt, ondanks dat hij van te voren op de hoogte was van de phishingtest, vertelt hij. Uiteindelijk viel het kwartje pas vlak voordat hij wilde klikken. De RUG gaat medewerkers nog actiever voorlichten over de valkuilen van phishing.

Lees: 5 tips om (spear) phishingmails op te merken en zo infectie met malware te voorkomen.