Met een phishingmail proberen criminelen gegevens in handen te krijgen van internetgebruikers. Dat gebeurde ook bij deze aanval, gericht op UT-medewerkers en –studenten. De afzender van deze mail leek een UT-medewerker te zijn en werd zogenaamd ondertekend door de ICT-dienst zelf (zie screenshot hieronder). LISA onderzoekt wat de schaal van de aanval is en hoe de informatie in verkeerde handen terecht is gekomen.
Criminelen
Volgens Peters wisselen criminelen onderling adressenlijsten uit. ‘Dit zou een van de opties kunnen zijn in het geval van de UT-aanval. Criminelen gebruiken de gehackte adressen om meer spam te versturen, zoals mails met advertenties over viagra. Daar kunnen ze geld aan verdienen.’
Bij een organisatie zoals de UT kunnen criminelen de phishingmail ook nog voor andere doeleinden gebruiken, zegt Peters. ‘Ze proberen toegang te krijgen tot het netwerk via een VPN-verbinding. Of ze zijn op jacht naar onderzoeksgegevens. Maar dat is bij een grootschalige aanval, zoals die van afgelopen weekend, onwaarschijnlijk.’
Nagemaakt
Volgens Peters is het zeer moeilijk om een phishingaanval te voorkomen. ‘Het is vooral aan de gebruikers zelf om goed op te letten. De mail zag er zeer goed uit en leek afkomstig te zijn van de ICT Servicedesk. Gebruikers die op de link klikten, kwamen op een nagemaakte UT-site terecht. Daar moesten ze hun wachtwoord wijzigen. Deze pagina was redelijk goed nagemaakt, maar het groene balkje ontbrak.’
De UT waarschuwt op de eigen site voor de phishingmail. ‘In ons bericht adviseren we om niet op de link in de mail te klikken. Heb je toch geklikt, dan raden we aan om het wachtwoord direct te wijzigen. Dat geldt ook voor andere sites waar je hetzelfde wachtwoord gebruikt.’
