Phishing in het onderwijs: toegangspoort naar meer

Onderwijsinstellingen beschikken vaak niet over dezelfde diepe zakken als private ondernemingen. Waarom zijn ze dan zo interessant voor hackers en wat doe je ertegen?

Vorige week werd de Artesis-Plantijn-groep aangevallen door hackers die ransomware wisten te implementeren op de schoolservers. Maar liefst tien campussen ondervonden hinder op de IT-systemen, sommigen waren daardoor zelfs volledig gesloten. Volgens onderzoek steeg het aantal cyberaanvallen op scholen – zowel secundaire instellingen als hogescholen en universiteiten – het voorbije jaar met 24 procent, meer dan in elke andere sector. Het toegenomen thuiswerken en -leren zorgen in de tweede helft van dit jaar nog voor toenemende cijfers.

Waarom scholen?

‘In het onderwijs word je niet rijk.’ Het is een cliché dat je regelmatig hoort terugkomen. Wanneer leerkrachten niet genieten van hun uitgebreide verlofregeling, concentreren ze zich op taalfouten in jouw Whatsapp-berichtjes. Maar het grote geld verdienen ze er niet mee.

Wat geldt voor leerkrachten, geldt in dat laatste geval voor de brede onderwijssector. Hoewel het een grote industrie is, zal je maar zelden een IT-coördinator horen zeggen dat er nog wel wat budget over is. Er bestaan meer welvarende, private sectoren die meer logische doelwitten vormen voor hackers.

Toch worden scholen steeds vaker geviseerd door allerlei hackingcampagnes. DDoS-aanvallen die netwerken platleggen, phishingaanvallen die ransomware met zich meedragen en spear phishingaanvallen die erop uit zijn gevoelige informatie in te winnen: de digitale gevaren nemen almaar toe.

We moeten niet ver zoeken naar de reden: universiteitsservers staan vol belangrijke onderzoeksdata. Als die worden getroffen, kunnen ettelijke jaren aan inzichten en inspanningen verloren gaan. Gehackte instellingen zullen er dan ook alles aan doen om zulke data terug te krijgen, tot het betalen van losgeld toe.

In het geval van hogescholen vormt een geslaagde inbraak de toegangspoort naar een schat aan (persoonlijke) informatie. Hoe meer informatie een hacker tot zijn beschikking heeft, hoe groter de kans op een geslaagde phishingaanval. Hogescholen beschikken over emailadressen, geboortedata, informatie over de gezins- en financiële situatie en nog veel meer van hun studenten. Zo’n adresboekje vormt dus een mooie buit. Valt een universiteit of hogeschool ten prooi aan hackers, dan kan iédereen zich best voorbereiden op phishing.

Iedereen is kwetsbaar

Uit onze analyses blijkt namelijk steevast dat er niet één bepaald profiel is dat kwetsbaar is voor phishingaanvallen. Of het nu gaat om een professor, rector, secretariaatsmedewerker of studie-assistent… iedereen blijkt even vatbaar voor onze geautomatiseerde simulaties. Bij echte phishingaanvallen zal dat niet anders zijn.

Bij een eerste test gaat steevast (minstens) 1 op 5 in de fout. Als 20 procent van een onderwijsinstelling van de grootte van AP ingaat op een phishingmail, kom je al snel aan bijna 3.000 mogelijke ingangen. Eens een hacker binnen zit, krijg je hem maar moeilijk weer buiten.

Schiet niet op IT

Wanneer een onderwijsinstelling wordt geconfronteerd met ransomware, wordt vaak gekeken in de richting van de IT-afdeling. Zij beheren de systemen, staan in voor het up-to-date houden van die systemen en ze houden de netwerken in topconditie. Wanneer het dan toch eens misloopt, gaan de blikken hun kant uit.

Dat is natuurlijk onterecht. Met name in het geval van phishing volstaat het om toegang te krijgen tot het netwerk via een standaardaccount met weinig rechten. Van daaruit kan een hacker zich een weg naar omhoog werken. Als een collega jou immers vraagt om even bij te springen om een probleem op te lossen, waarom zou je dat weigeren?

IT-coördinators krijgen jaarlijks een beperkt budget om hun zaakjes op orde te krijgen. Ze moeten daarmee zoveel mogelijk verschillende dreigingen proberen uit te sluiten, terwijl ze hun netwerken toch toegankelijk moeten houden voor duizenden verschillende gebruikers die elk hun eigen toestellen willen aansluiten. Zo bekom je al snel een broeihaard aan dreigingen.

Is er een oplossing?

De mens is de zwakste schakel in de securityketen. Hij is nieuwsgierig, klikt graag op links en hij blijkt erg hardleers. Wist je bijvoorbeeld dat iemand die een security-opleiding kreeg reeds na zes maanden alweer vatbaar is voor een phishingaanval? De enige manier om een organisatie veilig te houden, is om regelmatig bijscholing te voorzien. Niet alleen voor het administratieve personeel, maar evenzeer voor professoren, assistenten en zelfs studenten: administratieve profielen krijgen immers meer te maken met phishingpogingen dan het lesgevende personeel of de eindgebruikers van de netwerken – studenten. Logischerwijze hebben secretariaatsmedewerkers al meer ervaring en kennis opgebouwd over phishing dan andere mogelijke doelgroepen. Zij zijn al beter gewapend. Dat geldt voor het onderwijs, maar eveneens in elke andere sector.

Daar verschijnen wij ten tonele. Met behulp van het geautomatiseerde phishingplatform van Phished leren dagelijks meer dan 50.000 medewerkers verschillende types cyberaanvallen te identificeren en hoe er correct mee om te gaan. Het platform is gratis uit te proberen gedurende 14 dagen.

Meer weten?

Voor meer informatie over phishing, hoe het te herkennen en ermee om te gaan, kan je terecht in onze whitepaper, of mail je naar [email protected]

Contacteer ons

+32 (0)53/31.97.55

3000 Leuven, Belgium

Bescherm uw organisatie

Probeer ons platform 14 dagen gratis