Phishen bij UT-medewerkers

| Rense Kuipers

Studenten elektrotechniek en industrieel ontwerpen stuurden zogeheten phishing e-mails naar medewerkers van een faculteit. Dat deden ze voor een onderzoek van de vakgroep IEBIS naar cybercrime. Relatief veel medewerkers trapten erin.

Photo by: freeimages.com | Jakub Krechowicz

In totaal werden 593 e-mails verzonden naar de medewerkers, met daarin de tekst: ‘Due to recent changes of the UT computer system, some complications emerged between our database servers. This system, which contains your username and password, is not correctly synchronized.’

Lokken

Deze phishing e-mails waren bedoeld om de medewerkers naar een website te lokken en daar met hun medewerkersnummer en wachtwoord in te loggen.

De studenten gebruikten twee verschillende soorten aanhef. In een algemene e-mail stond ‘Dear Employee’, terwijl in de gepersonaliseerde e-mails de medewerker bij de naam werd genoemd.

Harde cijfers

‘Phishing e-mails worden steeds beter, steeds meer gepersonaliseerd’, legt hoogleraar cybersecurity Marianne Junger van de vakgroep IEBIS uit. ‘Je kunt wel aannemen dat gepersonaliseerde e-mails effectiever zijn, maar dan heb je de harde cijfers nog niet.’

Die heeft ze nu wel. Van de medewerkers die de algemene e-mail ontvingen, ging 32% naar de website en vulde 19% persoonlijke gegevens in. Bij de gepersonaliseerde e-mails lag dat percentage hoger: 38% ging naar de website en 29% vulde gegevens in.

‘Mensen zijn blijkbaar toch gevoelig voor de inhoud van de e-mail’, zegt Junger. ‘Ze kregen de indruk dat ze snel moesten reageren.’

Truth bias

Dat mensen in de phishing e-mails trappen, heeft volgens Junger niets te maken met intelligentie. ‘Mensen gaan ervan uit in hun contact met anderen dat diegene de waarheid spreekt. Dat heeft te maken met de truth bias, oftewel de waarheidsvertekening op het moment dat je iets hoort.’

Ook over leeftijdsverschillen kan Junger op dit moment nog niets vertellen. ‘Er is in het vakgebied tot nu toe weinig onderzoek naar gedaan’, legt ze uit. ‘Uit sommige studies blijkt dat jongeren in cijfers vaker slachtoffer zijn, terwijl dat in andere onderzoeken wordt tegengesproken. Het hele vakgebied is op dit moment best een grijs gebied.’

Publicatie

Junger benadrukt dat geen persoonlijke gegevens zijn opgeslagen en dat de ethische commissie van de faculteit BMS en de HR-afdeling van de betreffende faculteit het onderzoek hebben goedgekeurd.

‘We hebben een debriefing gestuurd aan de medewerkers, waarin we ze hebben gewezen op de website van de Fraudehelpdesk. Van de medewerkers die deel hebben genomen hebben we alleen maar positieve reacties ontvangen.’ Junger besluit: ‘We overwegen nu om een publicatie over het onderzoek te schrijven.’

Recommended

  • EN
  • NL

UT-gemeenschap trapt massaal in phishingmail

Studenten en medewerkers trapten afgelopen week massaal in een overtuigend uitziende phishingmail. Die werd verstuurd door de dienst LISA, om de ‘cyberbewustheid’ op de UT te meten. Een kwart van de studenten en 29 procent van de medewerkers klikte op de link in de mail.
  • EN
  • NL

UT community falls massively for phishing email

Students and staff fell for a convincing-looking phishing email in droves last week. It was sent by the LISA service department to measure 'cyber awareness' at the UT. A quarter of students and 29 per cent of employees clicked on the link in the mail.
  • EN
  • NL

Studenten overrompeld door invoering nieuw mailsysteem

De UT is begin februari overgestapt van de maildiensten van Google naar Microsoft, maar studenten zijn hierover onvoldoende geïnformeerd. Dat zei Bram van Uden (DAS) tijdens de universiteitsraad van woensdagmorgen. Het CvB erkende de gebrekkige communicatie en beloofde beterschap.
  • EN
  • NL

Introduction of new e-mail system catches students by surprise

In early February, the UT switched from Google to Microsoft for its e-mail services, but students were not sufficiently informed about this. That is what Bram van Uden (DAS) said during the University Council meeting on Wednesday morning. The Executive Board acknowledged the lack of communication and promised to do better.
  • EN
  • NL

Oud-penningmeester Piranha rommelt met geld uit clubkas

Een oud-penningmeester van zwemvereniging Piranha heeft in mei 20.000 euro van de clubkas overgemaakt naar zijn eigen rekening. Hij wilde het geld, naar eigen zeggen, met winst beleggen in cryptovaluta voor de vereniging, maar verloor ruim 7.500 euro. Het bestuur ziet vooralsnog af van aangifte en roept de leden op tot een algemene ledenvergadering om zo tot een oplossing te komen.
  • EN
  • NL

Former Piranha treasurer embezzles association’s money

A former treasurer of the Piranha swimming association transferred 20,000 euros from club's savings account to his own account in May. He said he wanted to invest the money profitably in cryptocurrency for the club, but lost over 7,500 euros. The board has decided not to press charges yet, but will call a general meeting of the members to resolve the issue.
  • EN
  • NL

Tentamenfraude op afstand voorkomen

Een student moet plechtig beloven niet te frauderen, cijfers zijn niet automatisch definitief en docenten kunnen studenten na een tentamen nog mondeling overhoren. Met deze maatregelen hoopt de UT tentamenfraude zo goed mogelijk te voorkomen tijdens de coronacrisis.
  • EN
  • NL

Preventing exam fraud from a distance

A student must make a solemn pledge not to cheat, grades are not automatically final and teachers can take an oral test right after the exam. With these measures the UT hopes to prevent examination fraud as much as possible during the corona crisis.

Stay tuned

Sign up for our weekly newsletter.