Om dit te testen stuurden de studenten van de Hogeschool Saxion een phishing-mail naar 189 huisartsen organisaties in Twente. De mail werd 102 keer geopend, er werd 73 keer op een link geklikt en 29 mensen vulden hun naw-gegevens in. “Het liet ons zien dat er nog een wereld te winnen is.”
Studenten testen de cybersecurity
De Twentse huisarstenorganisaties hebben het afgelopen jaar deelgenomen aan een pilot van de Hogeschool Saxion, waarbij studenten de cybersecurity testten. “Veel huisartsen hadden niet verwacht dat er binnen hun praktijk op een phishing-link geklikt zou worden”, vertelt Ilse Moes, managementadviseur informatiemanagement bij Thoon.
“Natuurlijk weten zij dat elke organisatie het risico loopt om slachtoffer te worden van een cyberaanval. Toch vertelden huisartsen dat ze gedacht hadden dat ze veilig waren. Ze hadden verwacht dat de phishing-mails afgevangen zouden worden door hun spam-filters of dat ze er niet op zouden klikken. De pilot liet zien dat zij wel degelijk een risico lopen. Daardoor kwam het erg dichtbij en is het onderwerp cybersecurity nog meer gaan leven.”
De pilot is een onderdeel van de tweedejaarsmodule Test & Improve binnen de opleiding Security Management van Saxion. In deze module krijgen de studenten les in de fysieke, menselijke en digitale veiligheid van organisaties. In de lessen over cybersecurity leren de studenten onder andere hoe zij een phishing-mail kunnen opstellen, waarmee zij de security van een organisatie kunnen testen. “Phishing-mails die inspelen op een emotie zijn bijvoorbeeld erg effectief”, vertelt Henk van Ee, onderzoeker en docent bij Saxion.
“Er wordt bijvoorbeeld veel op links geklikt als een mail mensen hebberig, bang of nieuwsgierig maakt. Zo zijn er meer methodes die je kunt toepassen om een goede phishing-mail te maken. De studenten leren dat tijdens de modulen die gericht zijn op het beveiligen van informatie. Als zij vervolgens gaan werken op het vlak van informatiebeveiliging, dan zullen ze merken dat de praktijk vaak weerbarstiger is dan de theorie. Daarom werken we graag met het bedrijfsleven samen. Zo kunnen studenten de theorie zo snel mogelijk toepassen in de praktijk. Dat is leuk en ze leren daar veel van. De pilot met huisartsenpraktijken en zorggroepen is daar een voorbeeld van.”
Idee bedenken waar huisartsen zouden intrappen
Amber Varenbrink is een van de studenten die deze module heeft gevolgd. Ze vertelt dat ze met haar medestudenten best lang heeft gebrainstormd om iets te bedenken waar de huisartsen in zouden trappen. “Uiteindelijk hebben we een mail opgesteld waarin stond dat de ontvangers een kerstcadeau mochten uitzoeken. In de mail stonden de logo’s van drie lokale winkels. Door op de logo’s te klikken, zouden ze zien uit welke cadeaus ze konden kiezen.”
“We vonden dit een van de beste ideeën, omdat er een link werd gelegd naar de lokale winkeliers”, vertelt Ilse. “Het klinkt logisch dat je bij hen een presentje mag uitzoeken.” Ze vertelt dat er ook studenten waren die een ingewikkeld onderwerp hadden gekozen. “Een groep studenten had zich bijvoorbeeld erg verdiept in de diensten die wij aanbieden. Zij hadden een mail opgesteld die daarop aansloot. Maar de huisartsen die zich bij ons hebben aangesloten, kennen ons natuurlijk goed. Daardoor kwam zo’n soort mail sneller ongeloofwaardig over.”
Docent Lisan van Bolhuis was verrast over de creativiteit van de studenten. “Een groep studenten had bijvoorbeeld een afbeelding in de mail verwerkt waardoor het net leek alsof er een foto aan het laden was. Daar zou ik zelf nooit opgekomen zijn. Zo’n icoon triggert natuurlijk, omdat je nieuwsgierig bent naar de foto die niet verschijnt.”
Er werd volop op geklikt
Na het opstellen van de mails, was het tijd voor de test in de praktijk. Ilse en haar collega kozen een phishing-mail die naar alle 189 deelnemers is gestuurd. Hier werd volop op geklikt. “We zagen daarbij dat het verschil tussen de organisaties groot was”, vertelt Lisan. “Bij veel kleine organisaties was er vaak één oplettende medewerker die de rest alarmeerde. Daardoor werd er bij hen veel minder op de link geklikt dan bij grotere organisaties.”
Ook hebben de studenten de huisartsen gebeld om te kijken of zij telefonisch informatie los konden krijgen. “We merkten dat de studenten dat wel spannend vonden”, vertelt Lisan. “Ze hadden gedacht dat ze snel door de mand zouden vallen. Toch merkten ze dat ze met goede vragen ver kwamen.”
Vishing ook toegepast
Amber vertelt dat ze dat een lastig onderdeel vond. “Ik werk in een callcentre, dus ik ben gewend om te telefoneren. Maar nu was de opdracht om gevoelige informatie boven water te krijgen. Dat voelde heel vervelend. Je hebt het gevoel dat je iemand aan het oplichten bent.” De studenten hadden de opdracht om zichzelf bekend te maken, als de medewerker aan de andere kant van de lijn op het punt zou staan om vertrouwelijke informatie te geven.
Zowel de huisartsenzorg als Saxion kijken met een goed gevoel terug op het project. “Dit smaakt naar meer”, zegt Henk. Daarom is hij nu ook met andere organisaties in gesprek om hen bij het project te betrekken. “Het mooie van het project is dat het niet alleen zorgt voor een hoger bewustzijn. Het is ook een goede manier om studenten en organisaties met elkaar in contact te brengen. Soms klikt het zo goed dat er een stage of een afstudeeropdracht uitrolt.”
Henk is overigens niet verbaasd over de uitkomst van het project. “In veel organisaties wordt er nog veel op phishing-links geklikt. Dus ik denk dat we bij veel andere organisaties hetzelfde zouden ondervinden. Des te meer reden om het bewustzijn te verhogen, bijvoorbeeld door geregeld met phishing-mails te oefenen. Maar ook om de crisisplannen op orde te hebben, zodat de organisatie er klaar voor is als cybercriminelen toch toeslaan.”
Bron: decrisismanager.nl | Maaike Tindemans
Wat is het verschil tussen phishing, smishing en vishing? 》
Bekijk alle vormen en begrippen 》
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws over phishing, smishing en vishing
Verborgen bedrog: De impact van online misleiding in Nederland
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
Cybercriminelen grijpen naar nieuwe phishingtechnieken
Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Hoe cybercriminelen je persoonlijke gegevens kunnen misbruiken na het betalen van 'inklaringskosten'
Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Grote impact van succesvolle e-mailaanvallen in de Benelux
Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Clone phishing momenteel een hype
First click here and then choose your language with the Google translate bar at the top of this page ↑
Cybercriminelen springen in op energiecrisis
English | Français | Deutsche | Español | Finland | Meer talen
Weer nieuwe truc met CJIB ‘verkeersboete’
Oplichters hebben het lange Paasweekend gebruikt om een nieuw foefje te bedenken. Zij versturen per sms nep-boetes (smishing) wegens te hard rijden.
Opnieuw Smishing berichten in omloop
Veel phishing-sms’jes (smishing) in omloop. Deze keer gaat het vooral om berichtjes uit naam van twee banken: de Rabobank en Van Lanschot.
Veel Smishing berichten in omloop van banken en telecomproviders
Er worden momenteel op grote schaal phishing-sms’jes (smishing) verstuurd. Het gaat zowel om berichtjes uit naam van enkele 'grote banken' als uit naam van een 'telefoonprovider'.
Nep SMS berichten in omloop van Rabobank
Heb jij een sms gekregen van de 'Rabobank' waarin staat dat je verplicht een nieuwe betaalpas moet aanvragen? Trap er niet in! Dit is 'Smishing'.
Aanhoudingen in helpdeskfraude / tech support scam zaak
Afgelopen dinsdag heeft de politie twee verdachten aangehouden op verdenking van bankhelpdesk fraude / tech support scam. Ze deden zich voor als bankmedewerkers en vroegen hun slachtoffers om AnyDesk te installeren. Op deze manier wisten ze ongeveer 150.000 euro buit te maken.
Helpdeskfraude in combinatie met spoofing en tech support scam, een succes formule voor cybercriminelen
English | Français | Deutsche | Español | Finland | Meer talen
Bellen naar slachtoffers als begin van een cyberaanval, hoe werkt het?
English | Français | Deutsche | Español | Meer talen
'Bank Tech Support Scam' treft vooral ouderen
Het cyberteam van de politie Zeeland-West-Brabant doet onderzoek naar een vorm van bankfraude waarbij een persoon die zich voordoet als medewerker van een bank vraagt om software van Teamviewer of Any Desk te downloaden. Op die manier verschaft het slachtoffer zelf toegang tot zijn/haar computer en kan door een hondsbrutale oplichter een bankrekening worden geplunderd.
"Word je zomaar gebeld door een helpdesk, dan moeten de alarmbellen afgaan"
Intensieve samenwerking met zowel bedrijven als opsporingsdiensten levert bij de bestrijding van de zogenoemde 'Tech Support Scam' goede resultaten op. Tech Support Scam, ook wel bekend als de 'helpdeskfraude', is een vorm van cybercrime die enige jaren geleden in onder andere Nederland veel slachtoffers maakte. De totale schade nam met 59 procent af ten opzichte van 2017, en het aantal slachtoffers stabiliseerde.
Malafide 'helpdesks' in Google resultaten
Nog al te vaak laten mensen zich vangen door fraudeurs die hengelen naar hun bankgegevens. Intussen herken je misschien wel al het typische phishing bericht in je mailbox. Maar wist je dat een onschuldige opzoeking op Google ook tot een geplunderde bankrekening kan leiden?