Een human firewall, zo noemt Stan van Aarle de strategie. “Rapporteren veel medewerkers en studenten hetzelfde mailtje via de knop in Outlook, dan kan het systeem zelf een eerste analyse doen en de mailtjes die nog volgen naar andere TU/e-adressen automatisch afvangen.” Een proces dat wordt gemonitord door het team Security Operations, benadrukt Van Aarle.

Van Aarle is enthousiast over zijn werk als information security officer bij LIS. Hij ziet het als een missie om samen met zijn collega’s de securityawareness van de TU/e-populatie te vergroten. “We hebben iedereen hard nodig om de data van de TU/e veilig te houden.” Daarom stuurt hij – met behulp van een externe partner en in overleg met Security Operations en (vertrekkend) CISO Martin de Vries – regelmatig gefingeerde phishingmailtjes uit naar een steekproef van studenten en medewerkers. 

Phishing is een vorm van internetfraude, waarbij cybercriminelen ‘hengelen’ naar gegevens – van jou of van de TU/e, bijvoorbeeld – door zich voor te doen als een betrouwbare partij, zoals een bekend bedrijf. Vissen naar waardevolle data dus. Waarom dan die ongebruikelijke spelling met ph-? Dat is afkomstig uit het hackersslang. 

Phishing is een vorm van social engineering, ofwel het afhandig maken van gegevens door in te spelen op menselijke eigenschappen als nieuwsgierigheid, vertrouwen en angst. Tips om phishingmails te herkennen vind je bijvoorbeeld bij het Digital Trust Center van de overheid. 

Een gerichte variant op phishing is spear phishing. Cybercriminelen gaan dan heel doelbewust te werk om specifieke gegevens buit te maken, zoals bepaalde gevoelige wetenschappelijke data. Daartoe verdiepen ze zich in iemands achtergrond en proberen ze diens vertrouwen te winnen.

Koeriersdienst

Stel, je werkt snel-snel je inbox door en vóór je beseft dat dat ene mailtje van HR helemaal niet van HR komt, heb je al op een link geklikt. Moet je je dan schamen, als techsavvy TU/e’er? “Zeker niet,” benadrukt Van Aarle. “De vraag is niet óf je erin trapt, maar wanneer. Het overkomt iedereen een keer.” 

Hackers doen daar immers alles aan: ze versturen hun e-mails aan het eind van de werkdag, als je moe bent en haast hebt. En ze onderzoeken welke applicaties de TU/e gebruikt, zodat ze die als nep-afzender kunnen kiezen. “Het is ook een kwestie van pech: zit je juist op een bericht van HR te wachten, of op een pakketje van die ene koeriersdienst, dan klik je eerder door in een bericht met zogenaamd die afzender.” 

En dat is ook geen ramp, zegt Van Aarle: “Belangrijker is dat je jezelf aanwent verdachte berichten structureel te rapporteren.” Heb je doorgeklikt en misschien ook persoonlijke gegevens ingevuld, doe dat dan niet met de meldknop, maar zoek even contact met de servicedesk.

Kat-en-muisspel

Met het verzenden van de namaak-phishingmails – die gelukkig geen schade kunnen aanrichten – probeert team Security Operations de TU/e-community alert te houden. En up-to-date, want cybercriminelen bedenken telkens iets nieuws in het kat-en-muisspel met de internetgebruiker. 

“Elke twee maanden passen we de testmails aan aan het actuele dreigingsbeeld”, zegt Van Aarle. Momenteel zijn infostealers bijvoorbeeld een trend in hackersland: software die – bijvoorbeeld na een klik op een aanlokkelijke maar malafide link – je computer afspeurt naar inloggegevens en andere informatie die je liever voor jezelf houdt. En dat alles zonder dat jij het in de gaten hebt.

“Daarnaast willen we het geleidelijk aan moeilijker maken om de test-phishingmails te herkennen. Nu staan er meerdere flags in waaraan ze te herkennen zijn – denk aan spelfouten of een raar mailadres als afzender, maar dat worden er minder.” Het doel is de TU/e-community steeds weerbaarder te maken tegen phishing.

Wie doorklikt in zo’n testmail, of deze bijvoorbeeld doorstuurt naar een collega, ontvangt een uitnodiging om zichzelf bij te spijkeren met een korte instructievideo. 

Microsoft Planner

Van Aarle pakt de cijfers erbij van de e-mails die in juni en juli werden verstuurd naar ruim vijfduizend TU/e-studenten en bijna net zoveel medewerkers. De studenten kregen een gefingeerde melding van Microsoft Planner, een applicatie die zij gebruiken om taken te verdelen bij groepsprojecten. De medewerkers ontvingen een oproep die zogenaamd van HR kwam, met het verzoek iets te ondertekenen. 

De studenten leken iets alerter dan de medewerkers: 14 procent van de studenten klikte op een link in het Planner-bericht, en 18 procent van de medewerkers deed dat in de HR-mail. Dat is minder dan afgelopen zomer, toen bij een eerdere zending 39 procent niet door had dat de mail verdacht was. “Maar die percentages zijn niet één-op-één te vergelijken, omdat het om een heel andere phishingcampagne ging”, benadrukt Van Aarle.

Meldknop

Dan het rapporteren van de phishingmail: 27 procent van de medewerkers klikte op de meldknop in Outlook en 4 procent van de studenten. Vooral dat laatste percentage mag hoger. “We streven ernaar dat eind 2025 gemiddeld 30 procent van de ontvangers de testmails rapporteert”, besluit Van Aarle.