In het kader van een onderzoek naar cybercrime stuurden studenten van de Universiteit Twente (UT) phishing e-mails naar medewerkers van een faculteit. Ze wilden weten hoeveel mensen er op zo'n mail klikken en of een persoonlijke aanhef effect heeft.
Studenten van de opleiding elektrotechniek en industrieel ontwerpen stuurden bijna 600 nepmails naar medewerkers van hun eigen faculteit, met een opvallend resultaat.
In de mails stond (in het Engels) de tekst:
‘Door recente aanpassingen aan het UT computersysteem zijn een aantal problemen ontstaan tussen onze databaseservers. Deze servers, waarin de gebruikersnaam en wachtwoord zijn opgeslagen, zijn niet goed gesynchroniseerd.’
Doel van de mail was om mensen naar een valse website te lokken en ze daar te laten inloggen met hun gebruikersnaam en wachtwoord. Er werden twee soorten mails gestuurd: de ene met een algemene aanhef (Beste medewerker) en de ander met een persoonlijke aanhef (Beste mevrouw Janssen).
Gegevens ingevuld
Van de medewerkers die de algemene e-mail ontvingen, ging 32 procent naar de website en vulde 19 procent persoonlijke gegevens in. Bij de gepersonaliseerde e-mails lag dat percentage hoger: 38 procent ging naar de website en 29 procent vulde gegevens in.
‘Phishing e-mails worden steeds beter, steeds meer gepersonaliseerd’, legt hoogleraar cybersecurity Marianne Junger van de vakgroep IEBIS uit op de website van de UT. Het vermoeden dat gepersonaliseerde valse e-mails nog effectiever zijn, blijkt nu te kloppen. ‘Mensen zijn blijkbaar toch gevoelig voor de inhoud van de e-mail. Ze kregen de indruk dat ze snel moesten reageren.’
Geen domme mensen
Junger benadrukt dat het een verkeerde gedachte is dat slechts domme mensen in phishingmails trappen. ‘Mensen gaan ervan uit in hun contact met anderen dat diegene de waarheid spreekt. Dat heeft te maken met de truth bias, oftewel de waarheidsvertekening op het moment dat je iets hoort.’
De ethische commissie van de betreffende faculteit en de HR afdeling van de universiteit hebben het onderzoek vooraf goedgekeurd. De gegevens die medewerkers hebben ingevoerd werden niet opgeslagen.