Hoe snel klikken huisartsen op een phishing-link?

Zouden de medewerkers van een huisartsenpraktijk op een phishing-link klikken? Om dit te testen stuurden de studenten van de Hogeschool Saxion een phishing-mail naar 189 huisartsenorganisaties in Twente. De mail werd 102 keer geopend, er werd 73 keer op een link geklikt en 29 mensen vulden hun naw-gegevens in. “Het liet ons zien dat er nog een wereld te winnen is.”

De Twentse huisarstenorganisaties hebben het afgelopen jaar deelgenomen aan een pilot van de Hogeschool Saxion, waarbij studenten de cybersecurity testten. “Veel huisartsen hadden niet verwacht dat er binnen hun praktijk op een phishing-link geklikt zou worden”, vertelt Ilse Moes, managementadviseur informatiemanagement bij Thoon.

“Natuurlijk weten zij dat elke organisatie het risico loopt om slachtoffer te worden van een cyberaanval. Toch vertelden huisartsen dat ze gedacht hadden dat ze veilig waren. Ze hadden verwacht dat de phishing-mails afgevangen zouden worden door hun spam-filters of dat ze er niet op zouden klikken. De pilot liet zien dat zij wel degelijk een risico lopen. Daardoor kwam het erg dichtbij en is het onderwerp cybersecurity nog meer gaan leven.”

Goede phishing-mail
De pilot is een onderdeel van de tweedejaarsmodule Test & Improve binnen de opleiding Security Management van Saxion. In deze module krijgen de studenten les in de fysieke, menselijke en digitale veiligheid van organisaties. In de lessen over cybersecurity leren de studenten onder andere hoe zij een phishing-mail kunnen opstellen, waarmee zij de security van een organisatie kunnen testen. “Phishing-mails die inspelen op een emotie zijn bijvoorbeeld erg effectief”, vertelt Henk van Ee, onderzoeker en docent bij Saxion.

“Er wordt bijvoorbeeld veel op links geklikt als een mail mensen hebberig, bang of nieuwsgierig maakt. Zo zijn er meer methodes die je kunt toepassen om een goede phishing-mail te maken. De studenten leren dat tijdens de modulen die gericht zijn op het beveiligen van informatie. Als zij vervolgens gaan werken op het vlak van informatiebeveiliging, dan zullen ze merken dat de praktijk vaak weerbarstiger is dan de theorie. Daarom werken we graag met het bedrijfsleven samen. Zo kunnen studenten de theorie zo snel mogelijk toepassen in de praktijk. Dat is leuk en ze leren daar veel van. De pilot met huisartsenpraktijken en zorggroepen is daar een voorbeeld van.”

Beste ideeën
Amber Varenbrink is een van de studenten die deze module heeft gevolgd. Ze vertelt dat ze met haar medestudenten best lang heeft gebrainstormd om iets te bedenken waar de huisartsen in zouden trappen. “Uiteindelijk hebben we een mail opgesteld waarin stond dat de ontvangers een kerstcadeau mochten uitzoeken. In de mail stonden de logo’s van drie lokale winkels. Door op de logo’s te klikken, zouden ze zien uit welke cadeaus ze konden kiezen.”

“We vonden dit een van de beste ideeën, omdat er een link werd gelegd naar de lokale winkeliers”, vertelt Ilse. “Het klinkt logisch dat je bij hen een presentje mag uitzoeken.” Ze vertelt dat er ook studenten waren die een ingewikkeld onderwerp hadden gekozen. “Een groep studenten had zich bijvoorbeeld erg verdiept in de diensten die wij aanbieden. Zij hadden een mail opgesteld die daarop aansloot. Maar de huisartsen die zich bij ons hebben aangesloten, kennen ons natuurlijk goed. Daardoor kwam zo’n soort mail sneller ongeloofwaardig over.”

Creativiteit
Docent Lisan van Bolhuis was verrast over de creativiteit van de studenten. “Een groep studenten had bijvoorbeeld een afbeelding in de mail verwerkt waardoor het net leek alsof er een foto aan het laden was. Daar zou ik zelf nooit opgekomen zijn. Zo’n icoon triggert natuurlijk, omdat je nieuwsgierig bent naar de foto die niet verschijnt.”

Na het opstellen van de mails, was het tijd voor de test in de praktijk. Ilse en haar collega kozen een phishing-mail die naar alle 189 deelnemers is gestuurd. Hier werd volop op geklikt. “We zagen daarbij dat het verschil tussen de organisaties groot was”, vertelt Lisan. “Bij veel kleine organisaties was er vaak één oplettende medewerker die de rest alarmeerde. Daardoor werd er bij hen veel minder op de link geklikt dan bij grotere organisaties.”

Telefonisch
Ook hebben de studenten de huisartsen gebeld om te kijken of zij telefonisch informatie los konden krijgen. “We merkten dat de studenten dat wel spannend vonden”, vertelt Lisan. “Ze hadden gedacht dat ze snel door de mand zouden vallen. Toch merkten ze dat ze met goede vragen ver kwamen.”

Amber vertelt dat ze dat een lastig onderdeel vond. “Ik werk in een callcentre, dus ik ben gewend om te telefoneren. Maar nu was de opdracht om gevoelige informatie boven water te krijgen. Dat voelde heel vervelend. Je hebt het gevoel dat je iemand aan het oplichten bent.” De studenten hadden de opdracht om zichzelf bekend te maken, als de medewerker aan de andere kant van de lijn op het punt zou staan om vertrouwelijke informatie te geven.

Goede klik
Zowel de huisartsenzorg als Saxion kijken met een goed gevoel terug op het project. “Dit smaakt naar meer”, zegt Henk. Daarom is hij nu ook met andere organisaties in gesprek om hen bij het project te betrekken. “Het mooie van het project is dat het niet alleen zorgt voor een hoger bewustzijn. Het is ook een goede manier om studenten en organisaties met elkaar in contact te brengen. Soms klikt het zo goed dat er een stage of een afstudeeropdracht uitrolt.”

Henk is overigens niet verbaasd over de uitkomst van het project. “In veel organisaties wordt er nog veel op phishing-links geklikt. Dus ik denk dat we bij veel andere organisaties hetzelfde zouden ondervinden. Des te meer reden om het bewustzijn te verhogen, bijvoorbeeld door geregeld met phishing-mails te oefenen. Maar ook om de crisisplannen op orde te hebben, zodat de organisatie er klaar voor is als cybercriminelen toch toeslaan.”