Afgelopen woensdag kregen medewerkers van de Hogeschool van Arnhem en Nijmegen om 18.50 uur een opvallende e-mail in hun inbox.
De afzender is Diana de Jong van het College van Bestuur. Het onderwerp: kerstpakket afschaffen of niet?
De e-mail is in het bezit van Business Insider.
“De afgelopen jaren hebben diverse medewerkers aangegeven dat ze geen kerstpakket meer hoeven”, schrijft De Jong. “Graag horen we van je of je het hier mee eens bent of niet, zodat we dit mee kunnen nemen in het besluit voor kerst 2017.”
Vervolgens kunnen medewerkers klikken op een link die leidt naar de inlogpagina van de HAN. Althans, dat lijkt zo. De pagina heeft als domeinnaam han-hogeschool.nl, terwijl de onderwijsinstelling de URL han.nl gebruikt. Ook het afzenderadres van de e-mail is ‘verkeerd’.
Toch besluit 31 procent van het personeel om zijn of haar gegevens in te vullen op het inlogscherm. Het kerstpakket is blijkbaar zo'n gevoelig onderwerp dat bijna een derde van de werknemers zich niet afvraagt waarom de hogeschool buiten werktijd een mail hierover verstuurd.
Test met phishingmails
Een dag later komt de aap uit de mouw. Het College van Bestuur heeft de valse e-mail verstuurd om werknemers bewust te maken van phishing. Daarbij proberen criminelen met e-mails die afkomstig lijken van een bedrijf of instelling persoonlijke gegevens te ontfutselen.
"Aanleiding voor deze actie is dat we vorig jaar veel last hebben gehad van een echte phishingmail", schrijft Diana de Jong in een e-mail aan het personeel, dit keer vanaf haar echte account. "Hierdoor kwamen onze mailservers op de 'zwarte lijsten' van organisaties te staan. Het gevolg was dat de door de HAN verstuurde mails enige dagen werden geweigerd."
De Jong heeft het beveiligingsteam van de hogeschool opdracht gegeven de nepmail te versturen. Werknemers die hun gegevens hebben ingevoerd moeten een nieuwe wachtwoord aanmaken op de HAN-website.
"Ik hoop dat door deze actie het percentage bij een eventuele ‘echte’ phishingmail aanzienlijk lager zal zijn", aldus De Jong. "Mocht je de volgende keer weer een mail ontvangen met een link naar een HAN-website, controleer dan goed of de link wel echt verwijst naar een website van de HAN. Zo niet, klik dan niet op de link, maar gooi de mail weg."
