Medewerkers van Universiteit Twente trappen in phishingmail

Studenten elektrotechniek en industrieel ontwerpen van de Universiteit Twente (UT) hebben het bewustzijn van UT-medewerkers over phishing op de proef genomen. De studenten verstuurde een phishing e-mail naar medewerkers van een faculteit. Relatief veel medewerkers bleken erin te trappen.
UTNieuws meldt dat in totaal 593 e-mails zijn verzonden naar medewerkers, met daarin de tekst: ‘Due to recent changes of the UT computer system, some complications emerged between our database servers. This system, which contains your username and password, is not correctly synchronized.’ Medewerkers werden vervolgens opgeroepen op een website in te loggen met hun medewerkersnummer en wachtwoord.
Algemene en gepersonaliseerde variant
Twee verschillende versies van de phishingmail zijn verstuurd. In een algemene mail werd ‘Dear Employee’ gebruikt als aanhef, terwijl in de gepersonaliseerde variant de medewerker bij naam werd genoemd. “Phishing e-mails worden steeds beter, steeds meer gepersonaliseerd”, zegt hoogleraar cybersecurity Marianne Junger van de vakgroep IEBIS. “Je kunt wel aannemen dat gepersonaliseerde e-mails effectiever zijn, maar dan heb je de harde cijfers nog niet.”
Van medewerkers die de algemene phishingmail ontvangen bleek 32% naar de phishingsite te surfen, waarna 19% zijn persoonlijke gegevens invulde. Bij de gepersonaliseerde e-mails lag dit percentage hoger. Van de groep die deze e-mails ontving ging 38% naar de website en vulde 29% gegevens in. “Mensen zijn blijkbaar toch gevoelig voor de inhoud van de e-mail”, zegt Junger. “Ze kregen de indruk dat ze snel moesten reageren.”
Truth bias
“Mensen gaan ervan uit in hun contact met anderen dat diegene de waarheid spreekt. Dat heeft te maken met de truth bias, oftewel de waarheidsvertekening op het moment dat je iets hoort”, aldus Junger. Over de invloed van leeftijd op de kans dat iemand in phishing trapt is volgens Junger niet veel te zeggen. “Uit sommige studies blijkt dat jongeren in cijfers vaker slachtoffer zijn, terwijl dat in andere onderzoeken wordt tegengesproken. Het hele vakgebied is op dit moment best een grijs gebied.”
Meer over
Lees ook
KnowBe4 introduceert vier AI-gedreven security agents om AI-gegenereerde phishing te bestrijden en cyberrisico’s te meten
KnowBe4, het cybersecurityplatform op het gebied van human risk management, introduceert een baanbrekende suite van AI-gedreven security agents: AIDA (Artificial Intelligence Defense Agents). Deze tools zijn ontworpen om het menselijke risicomanagement te automatiseren en verder te verbeteren.
Black Friday: een gewaarschuwd mens telt voor twee
De Black Friday shopgekte is weer van start. Dit is voor veel mensen de aftrap van het winkelseizoen voor de feestdagen. Consumentenorganisaties waarschuwen voor webshops, zoals Temu, in verband met mogelijke privacy schendingen.
Cybercriminelen doen zich voor als OpenAI in een grootschalige phishing aanval
Onderzoekers van Barracuda hebben een grootschalige OpenAI-imitatiecampagne ontdekt, gericht op bedrijven over de hele wereld. Daarbij deden de aanvallers zich voor als OpenAI – het bedrijf achter onder andere ChatGPT – in een urgent e-mailbericht waarin de ontvangers werd gevraagd om betalingsgegevens bij te werken voor een maandelijks abonnement.