Deze HvA’ers strijden dag en nacht tegen phishingmails

26 februari 2020
Beeld:

Daniël Rommens

Geplaatst door
Maureen Blankestijn
Op
26 februari 2020

Elke dag komen er gemiddeld één of twee meldingen van phishing binnen bij het Computer Emergency Response Team (CERT). Er zit elke dag van de week iemand klaar om een cyberaanval op de HvA te voorkomen. ‘Soms verbaast het me waar mensen in trappen.’

Op de negende verdieping van de Leeuwenburg van de Hogeschool van Amsterdam zit een handjevol mannen met de koptelefoon op klaar voor elke melding over spam en phishing bij de Servicedesk van ICTS.Deze afdeling werkt voor de HvA en de Universiteit van Amsterdam (UvA). Op drukke dagen komen er alleen al over phishing honderd mailtjes binnen en gaat de telefoon geregeld. Blijkt het om phishing te gaan, dan wordt het doorgespeeld naar CERT, bestaande uit acht roulerende experts die te hulp schieten bij een cybernoodsituatie.

Spam of phishing?

Spam is een verzamelnaam voor ongewenste mail. Ongewenste mail kan gewoonweg irritant zijn, maar ook gevaarlijk. Voorbeelden van gevaarlijke mails zijn:

  • Webcam scam: Afpersing door te beweren ‘alles te hebben gezien’.
  • Social hacking: Iemand die zich voordoet als een bekende die geld of hulp nodig heeft.
  • Phishing: Het hengelen naar inloggegevens van gebruikers met een mail die van een valide afzender lijkt te komen, maar waarin je naar een nagemaakte inlogpagina wordt verwezen.

Spam flag

Het grootste deel van de spam en phishing wordt ‘aan de poort’ tegengehouden, zegt Ronald Boontje, ICTS-veiligheidsmanager van de HvA en UvA. ‘Door middel van zwarte lijsten worden mails waarvan we zeker weten dat het spam betreft geblokkeerd. Dit gaat op basis van het onderwerp, de afzender of een combinatie van woorden in de mail.’

 

‘Het lastige aan deze filter,’ vertelt Boontje, ‘is dat het geen mails met termen die hackers juist vaak gebruiken, zoals “salaris” of “uw mailbox loopt vol” kan blokkeren.’ Dan zou de echte mail over je salaris of mailbox ook geblokkeerd worden. Verdachte mails waarover twijfel bestaat krijgen op basis van onderwerp, afzender en inhoud wel een score mee. Vanaf een bepaalde score krijgen ze een spam flag en belanden ze in de spamfolder van de gebruiker.

‘Het liefst houden we alles met een filter tegen, maar dat lukt helaas niet’

Een ander middel om ongewenste mail buiten de deur te houden is alle afzenders die voor het eerst naar de HvA mailen via een automatisch antwoord te verzoeken de mail nog eens te sturen. Dan pas wordt de mail doorgelaten. Spammers lopen hier vaak al vast omdat ze geautomatiseerd honderden mails sturen, maar niet de tijd nemen naar de antwoorden te kijken. Voor valide afzenders en phishers is dit daarentegen geen probleem.

 

Directe dreiging

Als ongewenste mails na deze stappen nog niet buiten de mailboxen zijn gehouden vormen ze een directe dreiging, legt Boontje uit. ‘Vanaf dat moment is er een kans dat gebruikers de mail openen, erin trappen en hun gegevens invullen of gijzelsoftware downloaden.’

 

Het CERT-team van de HvA is nu afhankelijk van gebruikers of andere teams die de mail melden om hacks te voorkomen. Als een melding binnenkomt bij het team, maakt het de link in de mail meteen onschadelijk. Binnen de HvA-infrastructuur is dit snel opgelost met een blokkerende waarschuwingspagina met de tekst: ‘Phishing! U heeft op een link in een phishing-e-mail geklikt.’

Buiten de digitale grenzen van de HvA, als iemand thuis werkt bijvoorbeeld, is het minder simpel voor de CERT. De link in de mail moet nog steeds onbruikbaar gemaakt worden om te voorkomen dat mensen inloggen op een malafide pagina. Hiervoor is het team nu afhankelijk van de beheerders van de misbruikte site. De phishinglink verwijst je namelijk zonder dat je het doorhebt bijvoorbeeld door naar een gratis webformulierdienst of naar de slecht beveiligde site van een sportclub.

 

‘Meestal reageren deze sitebeheerders snel, vaak binnen een uur,’ zegt Boontje. ‘Als dit toch te lang duurt, dan moeten we over tot onze laatste optie.’ Dit laatste redmiddel is het automatisch verwijderen van mails. Maar dit verwijderproces gebruikt het team liever niet, omdat dit veel tijd kost. ‘Maar als CERT inschat dat de dreiging groot is, moeten we de mails wel via deze weg verwijderen uit de mailboxen van gebruikers.’ Dit gebeurde in de afgelopen twee maanden al twee keer.

 

Filterdienst van Microsoft

Naar aanleiding van twee ‘golven’ van spam en phishingoverlast in 2019 is ICTS overgestapt naar een filterdienst van Microsoft. De verwachting is dat deze filter nog meer zal tegenhouden, omdat het gaat om een groter bedrijf met meer data tot z’n beschikking, zegt Boontje. ‘Toch zal ook deze filter nog spam en phishing erdoor laten glippen, zoals spam die speciaal op de HvA gericht is. Mails met het woord “helpdesk” worden bijvoorbeeld niet herkend als verdacht. Maar bij de HvA noemen we het nooit “helpdesk”, maar “servicedesk”.’ 

Tips van Ronald
  • Trap niet in de haast die wordt gesuggereerd bij onderwerpen als salaris of vollopende mailbox.
  • Vertrouw mails met spelfouten of rare woordkeuzes niet.
  • Ga na of je een mail verwacht van deze afzender.
  • Check altijd of er uva.nl staat bij de afzender en/of bij de inlogpagina.
  • Kijk altijd of het slotje linksboven in de adresbalk staat op de inlogpagina.
  • Klik niet meteen een pop-up weg, deze kan je proberen te waarschuwen. 
  • Download nooit zomaar een bestand.
  • Log nooit zomaar in met je gegevens.
  • Meld verdachte mails altijd bij servicedesk-icts@uva.nl

Na de cyberaanval op de Universiteit Maastricht in december heeft de UvA haar beveiligingssystemen opnieuw onder de loep genomen. Bij die cyberaanval verkregen hackers door phishing toegang tot meerdere gebruikers. Met deze gegevens konden ze de universiteitssystemen plat leggen door middel van gijzelsoftware. De afpersing leverde de hackers bijna tweehonderdduizend euro op.

 

Uit het voorval in Maastricht kunnen veel lessen getrokken worden, zegt Boontje. Zo is het belang van kritische gebruikers die phishing kunnen herkennen en zich bewust zijn van de effecten opnieuw bevestigd. ‘Het liefst houden we alles met een filter tegen, maar dat lukt helaas niet. En daarom zijn we ook afhankelijk van de gebruikers voor de veiligheid. Maar er is geen peil op de trekken wie er in phishing trapt. Mensen denken vaak dat de moedertaal en het opleidingsniveau van invloed zijn, maar wij zien dat dat niks uitmaakt. Het gebeurt iedereen. Soms verbaast het me waar mensen intrappen. ’

 

Zelf is Boontje nog nooit in phishing getrapt. ‘Ik heb wel eens getwijfeld, de mails van tegenwoordig zien er namelijk steeds beter uit. Maar ik heb nooit ergens op geklikt of ingelogd. Ik heb wel een keer een sms’je gekregen over een verloren creditcard. Toen ben ik wel eerst gaan zoeken naar mijn creditcard, dus in die zin ben ik er wel ingetrapt.’