Een kat-en-muisspel, zo typeren informatiebeveiligers van de Radboud Universiteit de constante strijd die zij voeren met cybercriminelen. Waar phishing vroeger gebeurde via mailtjes vol taalfouten, gaan de criminelen tegenwoordig veel geraffineerder te werk.

Hoe internetcriminelen nu juist bij Rebecca* uitkwamen? Zelf heeft ze geen idee. De managing director van een onderzoeksinstituut binnen de Faculteit der Natuurwetenschappen, Wiskunde en Informatica werd het afgelopen jaar niet één, maar meerdere keren slachtoffer van identiteitsfraude door phishers.

De eerste keer was de poging nog ronduit amateuristisch te noemen. Iemand stuurde zogenaamd uit Rebecca’s naam het verzoek naar een HR-adviseur om haar salaris op een ander bankrekeningnummer te laten storten. De aangeschreven personeelsadviseur werkte echter voor een heel andere faculteit en het bericht werd verzonden vanuit een Duits e-maildomein.

Een paar maanden later, in maart dit jaar, deden de criminelen een nieuwe, veel geraffineerdere poging. De afdeling crediteuren van de universiteit kreeg toen een factuur à 20.000 euro toegestuurd door een incassobedrijf voor juridisch advieswerk, dat nooit had plaatsgevonden.

Op dezelfde dag ontving crediteuren, nu uit Rebecca’s naam, het verzoek deze factuur met spoed te voldoen, omdat die ‘over het hoofd was gezien’. De mail van Rebecca – in foutloos Nederlands – kwam nu van een e-mailadres dat eindigde op ru.nl.

‘Spear phishing’

Dat hier sprake was van oplichterij, was veel minder evident. De gegevens van het echt bestaande incassobedrijf klopten en als managing director van een onderzoeksinstituut hoort het bij de dagelijkse werkzaamheden van Rebecca om facturen uit te laten betalen. Dat zij zich meldde bij crediteuren voor de uitbetaling van een factuur, was dus niet opmerkelijk.

‘Hier was duidelijk onderzoek aan vooraf gegaan’, zegt Edwin Wijnhoven, security officer van de bètafaculteit. ‘Het is een heel persoonlijke aanval, er is echt tijd ingestoken.’ De factuur werd uiteindelijk niet betaald omdat een medewerker bij crediteuren de budgethouder – Rebecca dus – persoonlijk benaderde met de boodschap dat de procedure voor het betalen van deze factuur via het interne systeem Bass niet gevolgd was. Toen pas bleek dat het om oplichting ging.

‘Het is heel naar dat iemand je naam misbruikt’

Desondanks heeft de affaire bij Rebecca een nare smaak in de mond achtergelaten. ‘Het is gewoon heel naar dat iemand je naam misbruikt. Dat ik daar verder helemaal niks aan kan doen, is heel vervelend.’

Het typeert de manier waarop internetcriminelen tegenwoordig te werk gaan, meent Wijnhoven. Gerichte pogingen als deze, die ook wel ‘spear phishing’ worden genoemd, zien ICT-medewerkers van de universiteit steeds vaker voorbijkomen.

Hoe vaak precies wordt niet geregistreerd. Volgens Fiona Bus, communicatieadviseur Security Awareness, is het echter aan de orde van de dag dat criminelen dit soort pogingen wagen bij medewerkers van de universiteit. Er zijn bij haar geen gevallen bekend waarbij er geld van de universiteit afhandig is gemaakt.

Maastricht

Op het vlak van internetveiligheid was 2019 een wake-upcall voor de Radboud Universiteit, toen de universiteit van Maastricht volledig lamgelegd werd door een cyberaanval. Na een week in ‘digitale gijzeling’ betaalde de universiteit toen 200.000 euro om weer toegang te krijgen tot haar servers.

De veiligheid is toen flink opgeschroefd, ook in Nijmegen. ‘Sindsdien hebben alle faculteit en onderdelen hun eigen security officer’, zegt Wijnhoven. Ook zijn er de laatste jaren steeds meer technieken doorgevoerd om internetcriminelen buiten de deur te houden. ‘Zo is het bijvoorbeeld niet meer mogelijk om uit naam van een ander e-mailadres van de universiteit een bericht te sturen.’ Voorheen was e-mail spoofing, zoals deze vorm van fraude heet, een koud kunstje.

Maar hoe goed de beveiliging op orde is, er zullen altijd mailtjes die hengelen naar persoonlijke gegevens, data of geld door de beveiliging heen glippen. Dan is het aan de medewerker om alert te zijn. Fiona Bus en haar collega’s werken daarom aan een campagne om mensen daarover bewust te maken. Die wordt volgend jaar gelanceerd.

* Rebecca is een gefingeerde naam. Omdat haar naam al meermaals is misbruikt door oplichters wilde zij niet met haar echte naam in dit artikel. Die is wel bekend bij de redactie.