De Rijksuniversiteit Groningen (RUG) schroeft de beveiliging van de mailaccounts van studenten en medewerkers op. De universiteit voert twee-factor-authenticatie in en het beheer van de mailserver wordt aangepakt. Dat meldt universiteitskrant Ukrant.
Op nieuwjaarsdag ontvingen medewerkers en studenten een mail met een alarmerende onderwerpregel: ‘VEILIGHEIDSINFORMATIE!!’ De mail leek afkomstig van de ict-afdeling (‘Rug Admin’) en linkte naar een website waar ter verificatie de gebruikersnaam en het wachtwoord van het universiteitsaccount moesten, worden ingevuld.
Technisch directeur Haije Wind van het Centrum voor Informatie Technologie (CIT) van de RUG reageert in de Ukrant: ‘Het is niet voor het eerst dat de RUG slachtoffer wordt van zulke oplichters. Wie de afzender precies is, weten we niet.’ Hij vervolgt dat het vaak lastig te achterhalen is omdat ze nepadressen gebruiken.’
Zodra het CIT merkt dat er een kwalijke mail is verstuurd, publiceert het waarschuwingen op zoveel mogelijk onlinekanalen. ‘Ook kunnen we de website, waarnaar de mail verwijst, blokkeren. Dan kun je er op het RUG-netwerk niet meer naartoe geleid worden’, aldus Wind. Maar hij waarschuwt dat die berichten de studenten en medewerkers soms ontgaan. ‘En als je toevallig thuis je mail opent, is de kwalijke website gewoon bereikbaar. We werken daarom aan grover geschut om de universiteit tegen phishing te beschermen.’
Verschuilen
‘We gaan zorgen dat e-mailadressen niet meer na te maken zijn’, zegt Wind tegen de universiteitskrant. Zo moet het voor een oplichter onmogelijk worden om zich te verschuilen achter zo’n keurig rug.nl-adres. ‘Dat kost wel wat tijd, want niet alle mailsystemen die we gebruiken, ondersteunen die maatregel. Veel self-services van de RUG versturen automatisch mail en ondersteunen deze techniek nog niet. Dat moet allemaal aangepast worden’, aldus Wind.
Ook wordt twee-factor-authenticatie ingesteld voor RUG-accounts. ‘Je ziet steeds meer dat de combinatie van alleen gebruikersnaam-wachtwoord gewoon niet veilig genoeg is’, aldus Wind. ‘Mochten je gebruikersnaam en wachtwoord dan in handen van kwaadwillenden vallen, dan kunnen ze er niets mee.’
Wind kan nog niet zeggen wanneer de maatregelen van kracht worden. Tot het zover is, benadrukt hij: ‘Het CIT zal je nooit in een e-mail vragen om je accountgegevens in te vullen. Niet doen, dus. En mocht je een mailtje krijgen waarvan je twijfelt of het echt is: bel met de Servicedesk.’
“Wie de afzender precies is, weten we niet.’ Hij vervolgt dat het vaak lastig te achterhalen is omdat ze nepadressen gebruiken.’”
Ja, ze deinzen tegenwoordig ook nergens meer voor terug 😛
Twee-factor-authenticatie is een hele goede stap in de juiste richting. Verder blijft de mens toch de zwakste schakel dus bewustwordingscampagnes blijven een must.