Bijna iedereen kent tegenwoordig het gevaar van phishing: het via mails ‘vissen’ naar persoonlijke gegevens of geld. Toch zijn er nog altijd mensen die op die manier worden beroofd. Ook op de Radboud Universiteit is phishing aan de orde van de dag: vorig jaar kwamen 260 meldingen binnen over een digitaal beveiligingsincident.

Medewerkers en studenten in de contactenlijst van Henk Donkers, docent bij Geografie, planologie en milieu, kregen vorige week een dringend mailtje. Of zij Donkers uit de brand konden helpen door wat geld over te maken. De docent was bestolen van zijn tas en daarom gestrand op het vliegveld van Newcastle, aldus de boodschap. In werkelijkheid was er niks aan de hand.

‘Een aloude truc’, aldus Jean Popma, voorzitter van CERT-RU, het team dat de digitale veiligheid op de Radboud Universiteit bewaakt. ‘Kennelijk zijn criminelen in het bezit gekomen van de inloggegevens van het slachtoffer.’ Dat de mail vanuit Nigeria verzonden bleek te zijn, verrast Popma niet. ‘Dat is een land met veel internetcriminelen. Net als Zuid-Korea en Oost-Europese landen als Oekraïne. De handhaving is daar minimaal.’

Hoewel het taalgebruik in de mail ronduit slecht was – niet zelden wordt er gebruik gemaakt van een vertaalmachine – zou het best kunnen dat een van de ontvangers in de val is gelokt. ‘In de drukte van de dag klikken mensen snel ergens op. Helemaal als de phisher zijn best heeft gedaan op de mail.’ In de mail van Donkers stond bijvoorbeeld zijn werkelijke privéadres te lezen.

Niet immuun
Over het jaar 2014 zijn er 260 meldingen binnengekomen bij Popma en zijn collega’s. Daarvan was 60 procent gerelateerd aan phishing of malware, ongewenste software die via sites geïnstalleerd wordt. ‘En dat is slechts wat er bij ons binnen komt als melding. In werkelijkheid ligt dat aantal hoger.’

Iedereen die mailt, krijgt te maken met phishing. Dat het gevaar bekend is, wil niet zeggen dat mensen immuun zijn voor het gevaar. ‘In 2013 heeft een groep van de Haagse hogeschool in samenspraak met ons een experiment gedaan op de Nijmeegse campus. Zij maakten een echt goede phishingsmail door alleen de website van de universiteit te bestuderen.’ Uitkomst: 20 procent van de ontvangers bleek op de ‘geïnfecteerde’ links in de mail te klikken.

‘Als digitale beveiligers lopen wij altijd achter op de criminelen’, zegt Popma. ‘Zij zijn het die nieuwe manieren uitvinden om mensen te belazeren. Wij zijn altijd in de verdediging, en de kans op een effectieve aanpak van de criminelen is nihil.’ Het enige wat Popma kan doen is incidenten zo goed als het kan oplossen en mensen bewust maken van het belang van veilig internetgebruik. ‘Want zo lang er geld te verdienen is met phishing, zitten de criminelen niet stil.’ / Mathijs Noij

Voor tips hoe om te gaan met phishingmails, klik hier.