Het zorgde voor flinke paniek. ‘De telefoons van de servicedesk stonden roodgloeiend, de mailbox stroomde vol. De respons was enorm’, zegt Willemieke Baan van het Centrum voor Informatie Technologie (CIT) glunderend. De mail was namelijk een stunt, rondgestuurd door de projectgroep Risk Awareness om alle RUG-medewerkers bewust te maken van de gevaren van phishing mails. Missie geslaagd.

Baby’s

Van de ongeveer 6000 medewerkers die de mail hebben ontvangen, had ruim de helft ‘m gelezen. Meer dan 2800 klikten op de link www.rug.nl/500MB en meer dan 1000 medewerkers gaven hun privégegevens door, rechtstreeks in handen van de ‘boeven’.

‘We wilden iets losmaken’, geeft Baan toe. De eind vorig jaar opgerichte projectgroep was ook verantwoordelijk voor de mysterieuze baby’s die vorige week overal verschenen en de mail die het universiteitsbestuur stuurde om de gemoederen weer te sussen. Baan: ‘We wilden een gedragsverandering teweeg brengen, dat als mensen twijfelen over een mail ze weten wie ze moeten bellen en waar ze moeten zijn.’

Phishing

De phishing mails zijn een groeiend probleem voor de RUG. Herhaaldelijk zijn accounts van RUG-medewerkers gehackt, nadat ze op de bedrieglijke mails hadden gereageerd. De phishing mails zijn erop gericht om medewerkers hun gegevens te ontfutselen en worden steeds vaker in RUG-stijl vormgegeven, inclusief RUG-logo en door de universiteit gebruikte foto’s. Met als gevolg dat de accounts worden misbruikt voor het versturen van spam en de universiteit op een black list terechtkomt.

De actie van dinsdag had direct effect. De door de groep gemaakte site over beveiliging op My University werd meteen twintig keer meer bezocht dan gewoonlijk. En een flink aantal medewerkers veranderde meteen z’n wachtwoord. Gewoonlijk zijn dat er dertig per dag, na de actie waren het er 157.

Zwakste schakel

‘Je data is kostbaar bezit. We hopen dat door de campagne mensen de phishing mails herkennen en direct terugdenken aan onze actie’, zegt Baan. ‘Maar alleen schrikken is niet genoeg, je moet ook weten wat je daarna moet doen. Je bent eigenlijk zelf de zwakste schakel, je geeft zelf je identiteit weg. Maar je bent ook zelf de oplossing.’

Maar hoe zit het dan met de beveiliging van het RUG-netwerk? Moet de universiteit niet voorkomen dat de phishingmails ons bereiken? Onmogelijk, zegt security manager Frank Brokken van het CIT. ‘De mails worden al veel beter gefilterd nu we Surfnet gebruiken, de gemeenschappelijke ict-dienst van alle universiteiten. Maar volledig tegenhouden is onmogelijk. Er zijn zoveel manieren waarop software kan worden misbruikt. Het enige dat je kunt doen is mensen daarover inlichten.’

Studenten

En dat is de volgende taak van de projectgroep Risk Awareness. Na de schrikactie gaan ze de medewerkers voorlichten. Dat begint met een tournee van de Discovery Truck van de RUG, waarin medewerkers een workshop kunnen volgen.

‘Deze actie was specifiek gericht op de medewerkers van de RUG. De studenten hebben de baby’s wel gezien, maar hebben de mail niet gekregen’, zegt Baan. ‘Dus misschien dat we nog wel een aparte campagne voor studenten beginnen.’

Ze zijn gewaarschuwd.