Vroeg Saxion-kerstcadeau blijkt vette phishingworst: medewerkers getest

Wie even niet oplet en toch via de link uit de mail zijn gegevens invult om de beloofde boekenbon of wellnessbehandeling te claimen, krijgt geen cadeau. Wat dan wel? Een komische video waarin Saxion-bestuurder Timo Kos gehuld in hackershoodie op zijn laptop zit te rammelen.

Hij verwijst door naar een kort videocollege over phishing. Daarbij worden mensen naar een valse website gelokt, waar ze hun inloggegevens prijsgeven aan de fraudeurs. In dit geval loopt dat met een sisser af, omdat het om een interne actie ging. 

Doel van de hele actie is het wijzen op de gevaren van phishing mails en bovenal om te voorkomen dat Saxion (en zijn medewerkers) slachtoffer worden van zo'n actie. "Op een grote instelling als Saxion is het heel belangrijk om je bewust te zijn van de gevaren van phishing. Dit is onderdeel van een campagne om medewerkers te informeren", zegt Saxion-woordvoerder Karin Effing. 

Verkeerde been

Informeren kan ook via een reguliere mail, met informatie en eventueel een video over phishing. Waarom is er voor gekozen om medewerkers op deze manier op het verkeerde been te zetten? Effing: "Op deze manier kunnen we het bewustzijn vergroten. Dit is onderdeel van een plan om het lerend vermogen bij medewerkers te vergroten. Ook kunnen we hiermee peilen waar we staan." 

Ze wijst daarbij ook op de Universiteit Maastricht. Een phishing-actie legde daar niet alleen het de mailsystemen en tentamens plat, maar zorgde er ook voor dat de universiteit zich genoodzaakt zag uiteindelijk 200.000 euro 'losgeld' te betalen. 

In de fake Saxion-mail zaten voor de kenner voldoende aanwijzingen die op phishing duiden: het mailadres was anders dan gebruikelijk, net als de url (=het adres) van de website waarop gebruikersnaam en wachtwoord gevraagd werden. Die gegevens moesten zelfs ingevuld worden om een beschrijving te krijgen van de cadeau's. Daarbij werd bovendien flink druk werd gezet om alles maar zo snel mogelijk in te vullen, want cadeautjes waren maar beperkt beschikbaar en op was op. Dat soort tijdsdruk komt vaker voor bij phishing mails. 

Studenten

Student Tristan Brinkert, die ook medewerker is, trapte desondanks in de mail van Saxion en geeft dat ruiterlijk toe. "Ik had gewoon de link wat beter moeten bekijken", zegt hij. "Maar ik wilde toch graag dat kerstpakket in de wacht slepen. Ik dacht: ik probeer het gewoon. De tijdsdruk speelde daarbij ook een rol." 

Hoewel hij voor de gek gehouden is, is hij heel positief over de actie. "Ik vind dit een ontzettend goede test. We hebben in Maastricht gezien hoe groot de gevolgen van phishing kunnen zijn. Ik hoop dat Saxion dit ook onder studenten gaat doen."

Dat laatste gaat mogelijk nog wel gebeuren, maar niet meer dit jaar, blijkt uit de woorden van woordvoerder Karin Effing. "Volgend jaar kijken we wat we op dit thema richting studenten kunnen doen."