In een van de mails stond dat het e-mailaccount van de betreffende medewerkers en studenten wegens een ‘routinecontrole’ moest worden geverifieerd. Om deactivering te voorkomen, moesten ze zogenaamd via een opgegeven mailadres van de ‘IT-helpdesk’ hun volledige naam, e-mailadres en afdeling noemen.

In een andere mail werd studenten gevraagd zo snel mogelijk 550 euro aan collegegeld over te maken op een buitenlands rekeningnummer, ‘om problemen met uw account te voorkomen’.

Vorige week maakte de universiteit op de website bekend dat het Security Operations Centre (SOC) en de afdeling Veiligheidszaken in contact zijn geweest met studenten en medewerkers die waren gehackt als gevolg van de phishingactie. Daarin stond ook dat ‘enkele studenten naar alle waarschijnlijkheid geld hebben overgemaakt naar het rekeningnummer dat is genoemd in de nepmail’. Ook is de universiteit een datalek- en aangifteprocedure gestart.

Volgens universiteitswoordvoerder Mischa van Vlier zijn er ‘zeven personen geïdentificeerd van wie het account gecompromitteerd was’. Zij hebben ingelogd op een malafide link die zij ontvingen nadat zij een mail hadden gestuurd om hun account zogenaamd te activeren. ‘Dit is gebeurd volgens een AiTM-aanval (adversary-in-the-middle, red.), waarbij zowel de sessie als het wachtwoord worden gestolen’, aldus Van Vlier.

Maar het eerdere bericht dat er ook zou zijn betaald, blijkt na nader onderzoek niet te kloppen. ‘Eerdere berichten hierover waren gebaseerd op communicatie tussen leden van onze gemeenschap en het valse e-mailadres’, aldus Van Vlier. ‘Van deze groep van veertien personen hebben we inmiddels van tien mensen te horen gekregen dat zij niets hebben betaald. De overige vier hebben tot op heden niet gereageerd op onze pogingen met hen in contact te komen. Wij hopen dat dat alsnog snel gebeurt. Gelukkig lijkt het er vooralsnog op dat niemand heeft betaald.’

Voor de universiteit zelf hebben de phishingmails geen directe gevolgen gehad, behalve ‘de tijd en inspanning van de betrokken medewerkers om deze kwestie op te lossen’. Van Vlier benadrukt dat het ISSC nooit vraagt om een account of mailbox te activeren of verifiëren per email. ‘Wij willen onze studenten en medewerkers dus op het hart drukken om niet in op dit soort verzoeken in te gaan.’

Afzenders

De mails hebben verschillende afzenders. Een van de afzenders gebruikt de naam van een persoon die afkomstig lijkt uit Angola. De afzender van de andere mail is ‘een bestaande persoon en zelf ook slachtoffer’, zegt Van Vlier. ‘Hij is niet betrokken bij deze phishingpoging.’ Het SOC heeft alle beschikbare informatie over de mogelijke daders inmiddels gedeeld met de politie. 

Diverse studenten en medewerkers hadden na ontvangst van de mails melding gemaakt bij het ISSC. ‘Helaas kon de grootschalige spamactie met nepmails niet worden voorkomen, maar zijn er wel direct maatregelen genomen om de impact te beperken’, schrijft de universiteit op de website. ‘Zo heeft het SOC er onder andere voor gezorgd dat de malafide afzenders zijn geblokkeerd en de spammails zijn opgeruimd.’

Studenten en medewerkers die een onbetrouwbare mail ontvangen, kunnen deze beter niet meteen weggooien maar dit zo snel mogelijk melden bij het ISSC via [email protected].