Veel medewerkers en studenten van Universiteit Twente zijn onvoldoende alert op phishingpogingen. Een kwart van de studenten en 29 procent van de medewerkers klikte afgelopen week op een link in een nep-phishingbericht dat was rondgestuurd als onderdeel van een bewustwordingscampagne. Dit meldt het Twentse universiteitsblad UToday.
UTwente telt ruim dertienduizend studenten en zo’n 3.500 medewerkers. Om de cyberbewustheid onder hen te testen, stuurde de universiteit een op echt lijkend phishingbericht met daarin de oproep het wachtwoord snel te wijzigen. Van zowel de studenten als de medewerkers werd het bericht 43 procent geopend, vertelt projectleider Wim Olijslager van de dienst Library, ICT Services & Archiving (Lisa) aan UToday. Vervolgens klikte 25 procent van de studenten en 29 procent van de medewerkers op de link in de mail.
Er is flink meer geklikt op het bericht en de phishing-link dan een vergelijkbare actie in 2022, zegt Olijslager. Toen klikte 25 procent van de studenten en 19 procent van de medewerkers op de link. Hij zegt er bij dat het phishingbericht van afgelopen week realistischer was dan vorig jaar. Het was volledig in de huisstijl van de universiteit, terwijl het vorig jaar leek op een bericht van een pakketbezorger.
Bewustwording
Uit de actie blijkt dat dertig procent van de ‘slachtoffers’ die op de link klikten, alsnog nepgegevens invulde in het formulier achter de link. ‘Bij hen kwam de bewustwording dus wat later in het proces’, meent de projectleider. Aan het eind van het proces verscheen een uitleg over phishingmails en hoe je deze herkent.
Met de actie wilde de universiteit ook controleren of betrokkenen phishingberichten actief melden bij het computer emergency response team (cert) van Lisa, zodat deze maatregelen kan nemen. Dit gebeurde nu meer dan vorig jaar.
Securitymanager Peter Peters concludeert dat de simulatiemails noodzakelijk zijn en blijven. ‘Met een phishingmail die overtuigend was opgezet, blijkt nu dat we er slechter voorstaan dan toen we hier afgelopen jaar mee begonnen.’ Hij waarschuwt mensen om niet te verwachten dat je er zelf niet intrapt. ‘Mensen zijn druk, hebben vaak iets anders aan hun hoofd. Daar proberen oplichters altijd misbruik van te maken. Slachtoffers zal je altijd houden.’
Updateritus en rotation password policies, maar je mag geen email openen die er betrouwbaar uitziet 😛
Wie heeft er nou daadwerkelijk zijn logingegevens bekend gemaakt ?
En dan die conclusie : ‘Bij hen kwam de bewustwording dus wat later in het proces’.
Zo blijkt dat security gewoon een zaak is van meningen. Betaalde meningen, want ieder heeft er wel ergens een belang bij.
Hoort eigenlijk disclaimer bij dat de opinie van een externe deskundige is. Nou ja, enige dat je weet is dat die betaald wordt door partij die er iets mee te maken heeft.
Mijn conclusie is dat de medewerkers in ieder geval beter aan de studenten kunnen vragen waar ze op moeten clicken.