‘Your OneDrive is out of storage space’. Die mededeling stond boven een mailtje waarin medewerkers van Windesheim deze week werden opgeroepen om hun persoonlijke OneDrive op te schonen. Het bleek echter te gaan om een awareness-test van de hogeschool.
Medewerkers die op de linkjes in de phishing-mail klikten, dachten terecht te komen op de reguliere inlogsite voor het gebruik van Windesheimsystemen. In werkelijkheid ging het om een bijna niet van echt te onderscheiden website die speciaal door Windesheim voor deze test was aangemaakt. Alleen het cijfer 1 in het webadres verraadde dat het om een phishing-site ging: onedrive.windeshe1m.nl. Ook de mail kwam van een dubieuze afzender: noreply@windeshe1m.nl.
Inloggegevens
Ongeveer negen procent van de medewerkers klikte op de link in de mail en liet op de website zijn of haar inloggegevens achter, vertelt security-expert Anita Polderdijk. “Welke gegevens dat zijn weten we overigens niet omdat we dat niet opslaan.”
Windesheim doet vaker awareness-testen, vertelt Polderdijk. “Dit doen we om medewerkers beter bewust te maken van het feit dat het herkennen van phishing-mail niet altijd eenvoudig is. En dat alertheid op dat gebied dus geboden blijft. Tevens biedt het ons de mogelijkheid om degenen die zich hebben laten misleiden, direct te informeren waar ze een phishing-mail aan kunnen herkennen.”
Meer inzicht
De dienst Informatievoorziening & technologie (IVT) krijgt daarnaast meer inzicht in hoe gevoelig medewerkers zijn voor deze vorm van misleiding. Polderdijk: “Dat negen procent op de link heeft geklikt, zegt ons dat we er als organisatie kwetsbaar voor zijn. Zo’n test helpt ons om te bepalen waar in bewustwordingscampagnes extra aandacht aan besteed moet worden.”
Windesheim heeft niet eerder op deze grote schaal een phishing-test gedaan. “Wel al eerder een paar op domeinniveau, toen waren de percentages overigens hoger.” Deze keer zag Polderdijk gebeuren dat collega’s elkaar waarschuwden. “Het is goed dat dat gebeurt, want zo helpen we elkaar om veilig te blijven. Maar dat betekent ook dat het percentage zeer waarschijnlijk groter was geweest, als mensen elkaar niet hadden gewaarschuwd.”
Veel mensen bereikt
De afdeling IVT is tevreden over hoe de phishing-test is verlopen. “Door de informatievoorziening over het herkennen van phishing-mail te koppelen aan een phishing-test, heeft de boodschap meer mensen bereikt dan wanneer we alleen een bericht op Sharenet zouden plaatsen.”
Wil je meer over dit onderwerp weten? In een bericht over de test op Sharenet wordt een aantal tips gegeven hoe phishing-mails te herkennen zijn.
