Phishing in het onderwijs

Phishing is een snelgroeiend probleem zo ook in de onderwijssector. Je kunt de krant niet open slaan of er staat al een bericht in over een datalek. Bij 91% van de gevallen komt dit door het menselijk handelen binnen een organisatie: “phishing”

In deze blog wordt kort toegelicht wat phishing is, welke risico’s onderwijs instellingen lopen met betrekking tot phishing, wat de potentiële schade is, hoe je phishing kunt voorkomen en wat de frequentie is van phishing bij scholen?

Komt phishing veel voor in het onderwijs?

Ja! Hieronder staan een aantal voorbeelden van recente hacks op onderwijsinstellingen. De voorbeelden zijn slechts het topje van de ijsberg er zijn nog veel meer voorbeelden van hacks op onderwijsinstellingen publiek gemaakt.

• Hogeschool InHolland gehackt: persoonlijke gegevens tienduizenden studenten aangeboden op internetforum
• Universiteit Maastricht over de hack: we konden niet anders dan betalen
• Ruim 20 Limburgse scholen getroffen door computervirus
• Account van student gehackt dreigde met aanslag

Wat is phishing?

Phishing is het verkrijgen van persoonlijke informatie van mensen met een illegale methode. We hebben er allemaal wel eens van gehoord en een idee hoe het werkt, maar 31% van de mensen lekt nog steeds gevoelige informatie als gevolg van phishing.

Phishing werkt als volgt: een Cybercrimineel stuurt een mail vanaf een misleidend adres bv.: magister@gmail.com. In de mail wordt gevraagd om jouw persoonlijke logingegevens, echter wanneer jij deze informatie invult, komt het niet bij Magister terecht maar bij een Cybercrimineel. Nu de cybercrimineel jouw inloggegevens heeft kan hij hiermee inloggen in het systeem en zo persoonlijke gegevens van studenten of medewerkers bemachtigen.

Waar phishing vroeger makkelijk te herkennen was is het nu geëvolueerd tot een niveau waarop het haast niet meer te onderscheiden is van echt. Voorheen herkende je snel waar spelfouten stonden. Waardoor je de phishingmails snel kon herkennen, echter zien wij dat de kwaliteit van de phishingmails sterk toeneemt, wat het herkennen moeilijker maakt.

Welke risico’s loop je als onderwijsinstelling met betrekking tot phishing?

Waar je vaak de uitspraak hoort “in het onderwijs word je niet rijk”, is dit echter voor een cybercrimineel wel het geval.

Bij scholen en onderwijsinstellingen zijn veel persoonlijke gegevens te verkrijgen. Dit door het grote aantal studenten en docenten dat binnen de organisaties actief is. Werknemers en scholieren verwerken veel gegevens. Denk hierbij aan de toestroom en uitstroom van studenten, het inloggen op de verschillende IT-systemen van de organisatie en de snel groeiende digitalisering van het onderwijs.

Wanneer er een phishing aanval plaatsvindt bij een onderwijsinstelling worden er inloggegevens verkregen. Waardoor de cybercriminelen toegang krijgen tot een grote hoeveelheid aan gegevens. Als school ben je dus een snoepwinkel voor de phisher, met één paar inloggegevens heb je toegang tot het systeem van een onderwijsinstelling.

Wat is de potentiële schade van een phishing attack in het onderwijs?

Bij phishing worden zoals hierboven al beschreven data van een organisatie gestolen door het verkrijgen van inloggegevens op een illegale methode. Wanneer de inloggegevens in de handen van de cybercrimineel zijn kan hij veel gegevens uit het systeem van de organisatie halen.

Denk hierbij aan adressen, BSN nummer, geboortedata, inloggegevens van studenten, foto’s, cijfers en nog veel meer. Een cybercrimineel kan dit zelf gebruiken of gaan verkopen op online forums op het deepweb of darkweb. Hij verkoopt dit dan voor tienduizenden euro’s of pleegt identiteitsfraude met de gestolen gegevens.

Hoe kan je phishing voorkomen?

• Gebruik een sterk wachtwoord, checken of jouw wachtwoord sterk genoeg is? kijk op www.veiliginternetten.nl
• Het zorgen voor security awareness rondom het onderwerp phishing, door phishing awareness trainingen en het delen van voorbeelden.
• Het periodiek testen van de onderwijsinstelling door phishing simulaties.
• Voeg een hulpmiddel toe aan outlook zoals de Holmes Security Coach.
  Hierdoor zie je in één ogenblik of een mailtje veilig is.

Phishing in het onderwijs is een exponentieel groeiend probleem. Voorkom een datalek voordat het te laat is!

In samenwerking met SLB diensten verzorgt Surelock phishing awareness binnen jouw onderwijsinstelling. Dit door gebruik te maken van awareness tools zoals, E-learning, phishing-simulaties & een Outlook plug-in. Benieuwd naar wat wij voor jou kunnen doen neem contact op met een van onze productexperts.