Phishen bij UT-medewerkers

| Rense Kuipers

Studenten elektrotechniek en industrieel ontwerpen stuurden zogeheten phishing e-mails naar medewerkers van een faculteit. Dat deden ze voor een onderzoek van de vakgroep IEBIS naar cybercrime. Relatief veel medewerkers trapten erin.

Photo by: freeimages.com | Jakub Krechowicz

In totaal werden 593 e-mails verzonden naar de medewerkers, met daarin de tekst: ‘Due to recent changes of the UT computer system, some complications emerged between our database servers. This system, which contains your username and password, is not correctly synchronized.’

Lokken

Deze phishing e-mails waren bedoeld om de medewerkers naar een website te lokken en daar met hun medewerkersnummer en wachtwoord in te loggen.

De studenten gebruikten twee verschillende soorten aanhef. In een algemene e-mail stond ‘Dear Employee’, terwijl in de gepersonaliseerde e-mails de medewerker bij de naam werd genoemd.

Harde cijfers

‘Phishing e-mails worden steeds beter, steeds meer gepersonaliseerd’, legt hoogleraar cybersecurity Marianne Junger van de vakgroep IEBIS uit. ‘Je kunt wel aannemen dat gepersonaliseerde e-mails effectiever zijn, maar dan heb je de harde cijfers nog niet.’

Die heeft ze nu wel. Van de medewerkers die de algemene e-mail ontvingen, ging 32% naar de website en vulde 19% persoonlijke gegevens in. Bij de gepersonaliseerde e-mails lag dat percentage hoger: 38% ging naar de website en 29% vulde gegevens in.

‘Mensen zijn blijkbaar toch gevoelig voor de inhoud van de e-mail’, zegt Junger. ‘Ze kregen de indruk dat ze snel moesten reageren.’

Truth bias

Dat mensen in de phishing e-mails trappen, heeft volgens Junger niets te maken met intelligentie. ‘Mensen gaan ervan uit in hun contact met anderen dat diegene de waarheid spreekt. Dat heeft te maken met de truth bias, oftewel de waarheidsvertekening op het moment dat je iets hoort.’

Ook over leeftijdsverschillen kan Junger op dit moment nog niets vertellen. ‘Er is in het vakgebied tot nu toe weinig onderzoek naar gedaan’, legt ze uit. ‘Uit sommige studies blijkt dat jongeren in cijfers vaker slachtoffer zijn, terwijl dat in andere onderzoeken wordt tegengesproken. Het hele vakgebied is op dit moment best een grijs gebied.’

Publicatie

Junger benadrukt dat geen persoonlijke gegevens zijn opgeslagen en dat de ethische commissie van de faculteit BMS en de HR-afdeling van de betreffende faculteit het onderzoek hebben goedgekeurd.

‘We hebben een debriefing gestuurd aan de medewerkers, waarin we ze hebben gewezen op de website van de Fraudehelpdesk. Van de medewerkers die deel hebben genomen hebben we alleen maar positieve reacties ontvangen.’ Junger besluit: ‘We overwegen nu om een publicatie over het onderzoek te schrijven.’

Stay tuned

Sign up for our weekly newsletter.