Zouden de medewerkers van een huisartsenpraktijk op een phishing-link klikken?

Gepubliceerd op 10 december 2021 om 15:00

Om dit te testen stuurden de studenten van de Hogeschool Saxion een phishing-mail naar 189 huisartsen organisaties in Twente. De mail werd 102 keer geopend, er werd 73 keer op een link geklikt en 29 mensen vulden hun naw-gegevens in. “Het liet ons zien dat er nog een wereld te winnen is.”

Studenten testen de cybersecurity

De Twentse huisarstenorganisaties hebben het afgelopen jaar deelgenomen aan een pilot van de Hogeschool Saxion, waarbij studenten de cybersecurity testten. “Veel huisartsen hadden niet verwacht dat er binnen hun praktijk op een phishing-link geklikt zou worden”, vertelt Ilse Moes, managementadviseur informatiemanagement bij Thoon.

“Natuurlijk weten zij dat elke organisatie het risico loopt om slachtoffer te worden van een cyberaanval. Toch vertelden huisartsen dat ze gedacht hadden dat ze veilig waren. Ze hadden verwacht dat de phishing-mails afgevangen zouden worden door hun spam-filters of dat ze er niet op zouden klikken. De pilot liet zien dat zij wel degelijk een risico lopen. Daardoor kwam het erg dichtbij en is het onderwerp cybersecurity nog meer gaan leven.”

De pilot is een onderdeel van de tweedejaarsmodule Test & Improve binnen de opleiding Security Management van Saxion. In deze module krijgen de studenten les in de fysieke, menselijke en digitale veiligheid van organisaties. In de lessen over cybersecurity leren de studenten onder andere hoe zij een phishing-mail kunnen opstellen, waarmee zij de security van een organisatie kunnen testen. “Phishing-mails die inspelen op een emotie zijn bijvoorbeeld erg effectief”, vertelt Henk van Ee, onderzoeker en docent bij Saxion.

“Er wordt bijvoorbeeld veel op links geklikt als een mail mensen hebberig, bang of nieuwsgierig maakt. Zo zijn er meer methodes die je kunt toepassen om een goede phishing-mail te maken. De studenten leren dat tijdens de modulen die gericht zijn op het beveiligen van informatie. Als zij vervolgens gaan werken op het vlak van informatiebeveiliging, dan zullen ze merken dat de praktijk vaak weerbarstiger is dan de theorie. Daarom werken we graag met het bedrijfsleven samen. Zo kunnen studenten de theorie zo snel mogelijk toepassen in de praktijk. Dat is leuk en ze leren daar veel van. De pilot met huisartsenpraktijken en zorggroepen is daar een voorbeeld van.”

Idee bedenken waar huisartsen zouden intrappen

Amber Varenbrink is een van de studenten die deze module heeft gevolgd. Ze vertelt dat ze met haar medestudenten best lang heeft gebrainstormd om iets te bedenken waar de huisartsen in zouden trappen. “Uiteindelijk hebben we een mail opgesteld waarin stond dat de ontvangers een kerstcadeau mochten uitzoeken. In de mail stonden de logo’s van drie lokale winkels. Door op de logo’s te klikken, zouden ze zien uit welke cadeaus ze konden kiezen.”

“We vonden dit een van de beste ideeën, omdat er een link werd gelegd naar de lokale winkeliers”, vertelt Ilse. “Het klinkt logisch dat je bij hen een presentje mag uitzoeken.” Ze vertelt dat er ook studenten waren die een ingewikkeld onderwerp hadden gekozen. “Een groep studenten had zich bijvoorbeeld erg verdiept in de diensten die wij aanbieden. Zij hadden een mail opgesteld die daarop aansloot. Maar de huisartsen die zich bij ons hebben aangesloten, kennen ons natuurlijk goed. Daardoor kwam zo’n soort mail sneller ongeloofwaardig over.”

Docent Lisan van Bolhuis was verrast over de creativiteit van de studenten. “Een groep studenten had bijvoorbeeld een afbeelding in de mail verwerkt waardoor het net leek alsof er een foto aan het laden was. Daar zou ik zelf nooit opgekomen zijn. Zo’n icoon triggert natuurlijk, omdat je nieuwsgierig bent naar de foto die niet verschijnt.”

Er werd volop op geklikt

Na het opstellen van de mails, was het tijd voor de test in de praktijk. Ilse en haar collega kozen een phishing-mail die naar alle 189 deelnemers is gestuurd. Hier werd volop op geklikt. “We zagen daarbij dat het verschil tussen de organisaties groot was”, vertelt Lisan. “Bij veel kleine organisaties was er vaak één oplettende medewerker die de rest alarmeerde. Daardoor werd er bij hen veel minder op de link geklikt dan bij grotere organisaties.”

Ook hebben de studenten de huisartsen gebeld om te kijken of zij telefonisch informatie los konden krijgen. “We merkten dat de studenten dat wel spannend vonden”, vertelt Lisan. “Ze hadden gedacht dat ze snel door de mand zouden vallen. Toch merkten ze dat ze met goede vragen ver kwamen.”

Vishing ook toegepast

Amber vertelt dat ze dat een lastig onderdeel vond. “Ik werk in een callcentre, dus ik ben gewend om te telefoneren. Maar nu was de opdracht om gevoelige informatie boven water te krijgen. Dat voelde heel vervelend. Je hebt het gevoel dat je iemand aan het oplichten bent.” De studenten hadden de opdracht om zichzelf bekend te maken, als de medewerker aan de andere kant van de lijn op het punt zou staan om vertrouwelijke informatie te geven.

Zowel de huisartsenzorg als Saxion kijken met een goed gevoel terug op het project. “Dit smaakt naar meer”, zegt Henk. Daarom is hij nu ook met andere organisaties in gesprek om hen bij het project te betrekken. “Het mooie van het project is dat het niet alleen zorgt voor een hoger bewustzijn. Het is ook een goede manier om studenten en organisaties met elkaar in contact te brengen. Soms klikt het zo goed dat er een stage of een afstudeeropdracht uitrolt.”

Henk is overigens niet verbaasd over de uitkomst van het project. “In veel organisaties wordt er nog veel op phishing-links geklikt. Dus ik denk dat we bij veel andere organisaties hetzelfde zouden ondervinden. Des te meer reden om het bewustzijn te verhogen, bijvoorbeeld door geregeld met phishing-mails te oefenen. Maar ook om de crisisplannen op orde te hebben, zodat de organisatie er klaar voor is als cybercriminelen toch toeslaan.”

Bron: decrisismanager.nl | Maaike Tindemans

Wat is het verschil tussen phishing, smishing en vishing? 》

Bekijk alle vormen en begrippen 》

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer nieuws over phishing, smishing en vishing

Mamba 2FA: Een nieuwe dreiging voor Microsoft 365-accounts en hoe je je kunt beschermen

In deze podcast bespreken we de nieuwe cyberdreiging genaamd Mamba 2FA, een phishing-as-a-service platform dat zich specifiek richt op het omzeilen van tweefactorauthenticatie (2FA) bij Microsoft 365-accounts. Mamba 2FA maakt gebruik van een Adversary-in-the-Middle (AiTM)-aanval, waarbij inloggegevens en 2FA-tokens worden onderschept. Dit geeft aanvallers de mogelijkheid om toegang te krijgen tot gevoelige informatie, zelfs als 2FA is ingeschakeld.

Lees meer »

Celstraf van drie jaar geëist tegen 35-jarige cybercrimineel ‘Han Solo’

Het Openbaar Ministerie (OM) heeft tegen een 35-jarige man uit Heerenveen een gevangenisstraf van 3 jaar geëist en het terugbetalen van het wederrechtelijk voordeel van €318.050,63. Hem wordt verweten dat hij door het handelen in digitale lijsten met persoonsgegevens, zogenaamde leads, een grote bijdrage heeft geleverd aan bankhelpdeskfraude met mogelijke vele gedupeerden wereldwijd.

Lees meer »

Mobiele cyberrisico’s worden nog altijd flink onderschat

Uit onderzoek van G DATA, blijkt dat maar liefst 79 procent van de Nederlanders geen melding doet van valse sms-berichten. Het melding doen van valse sms-berichten en andere vormen van cybercrime is cruciaal omdat op deze manier onderzoek kan worden gedaan naar de daders. Alle aangiftes samen maken het mogelijk informatie te combineren en geven inzicht in de handelswijze van cybercriminelen. Hoe meer informatie, hoe groter de kans dat een onderzoek succesvol kan worden afgerond.

Lees meer »

Het succes van Smishing

Nu smishing helemaal in is, maken de media in de Verenigde Staten, Italië en Brazilië melding van tal van alarmerende verhalen over nieuwe scams. De Duitse politie heeft zelfs een officiële waarschuwing uitgegeven over een van de campagnes.

Lees meer »

'Bank Tech Support Scam' treft vooral ouderen

Het cyberteam van de politie Zeeland-West-Brabant doet onderzoek naar een vorm van bankfraude waarbij een persoon die zich voordoet als medewerker van een bank vraagt om software van Teamviewer of Any Desk te downloaden. Op die manier verschaft het slachtoffer zelf toegang tot zijn/haar computer en kan door een hondsbrutale oplichter een bankrekening worden geplunderd.

Lees meer »

"Word je zomaar gebeld door een helpdesk, dan moeten de alarmbellen afgaan"

Intensieve samenwerking met zowel bedrijven als opsporingsdiensten levert bij de bestrijding van de zogenoemde 'Tech Support Scam' goede resultaten op. Tech Support Scam, ook wel bekend als de 'helpdeskfraude', is een vorm van cybercrime die enige jaren geleden in onder andere Nederland veel slachtoffers maakte. De totale schade nam met 59 procent af ten opzichte van 2017, en het aantal slachtoffers stabiliseerde.

Lees meer »

Malafide 'helpdesks' in Google resultaten

Nog al te vaak laten mensen zich vangen door fraudeurs die hengelen naar hun bankgegevens. Intussen herken je misschien wel al het typische phishing bericht in je mailbox. Maar wist je dat een onschuldige opzoeking op Google ook tot een geplunderde bankrekening kan leiden?

Lees meer »