UU beperkt e-mailverkeer na phishingaanval
Studenten en medewerkers kunnen sinds woensdag niet meer dan 500 geadresseerden per dag e-mailen. Met die maatregel wil de UU voorkomen dat internetcriminelen UU-mailadressen gebruiken voor spam.
Per dag meer dan 500 mensen een mailtje sturen vanaf een UU-mailadres? Dan kan sinds 4 december niet zo maar meer.
Wat is de aanleiding?
Minstens 3000 UU-studenten - het exacte aantal is onduidelijk - ontvingen op 23 oktober 2013 een e-mail die afkomstig leek te zijn van de Universiteit Utrecht. Of ze hun accountgegevens wilden invullen, anders zou hun account “binnen de komende 48 uur” worden afgesloten. Minimaal vier studenten klikten op de link en vulden hun inloggegevens in op een site die leek alsof die van de UU was. Het was de zoveelste poging van internetcriminelen om de inloggegevens van UU'ers buit te maken met een zogeheten phishingaanval.
Via de buitgemaakte UU-mailaccounts gingen internetcriminelen vervolgens massaal spam de wereld insturen. En dat had weer tot gevolg dat sommige e-mailproviders zoals Hotmail, alle e-mailadressen eindigend op @uu.nl op een zwarte lijst zetten. Daardoor was het ongeveer 24 uur lang niet mogelijk om vanaf een UU-adres te mailen naar een Hotmail-adres.
Wat doet de UU er tegen?
Het is niet de eerste keer dat UU-mailadressen op een zwarte lijst komen als gevolg van een geslaagde phishingaanval. Dit keer duurde de Hotmail-blokkade wel korter dan in 2010, omdat de UU nu sneller kan schakelen naar een andere mailserver, die niet op de zwarte lijst staat. Maar voordat de UU kan overschakelen, moet eerst onderzocht worden welke mailaccounts gehackt zijn. Die mogen namelijk niet mee naar de nieuwe server omdat die anders ook wordt geblokkkeerd. Dit hele proces duurde 24 uur.
Het beperken van de uitgaande mail voorkomt niet dat internetcriminelen doorgaan met het hengelen naar UU-inloggevens. Maar het wordt waarschijnlijk wel minder, verwacht René Ritzen, chief information security officer van de Universiteit Utrecht. “Hierdoor ben je voor spammers minder aantrekkelijk. Je kan als spammer maar maximaal 500 geadresseerden per dag bereiken. Daar ga je die moeite niet voor doen.”
“We hebben natuurlijk liever dat studenten en medewerkers ongelimiteerd kunnen mailen, om bijvoorbeeld een uitnodiging rond te sturen. Maar als we deze beperking niet invoeren, dan worden we in het vervolg weer afgesloten door providers zoals Hotmail”, zegt Ritzen.
En als UU’ers toch meer dan 500 mensen op een dag willen bereiken?
Dan kan dat nog steeds, legt Ritzen uit. Via een aantal e-mailaccounts mag nog naar grotere groepen gemaild worden, bijvoorbeeld voor het verzenden van nieuwsbrieven of het uitzetten van online enquêtes. Wie zo'n mailadres nodig heeft, kan dat aanvragen. Bovendien wordt een distributielijst (één mailadres om tegelijk meerdere mensen te mailen) slechts als één enkele geadresseerde gezien.
Zijn we heel alert op phishingmails?
De alertheid op phishingmails is laag, constateert Ritzen. Hij verwijst naar een experiment bij de Rijksuniversiteit Groningen, waar de ict-dienst als test een phishingmail stuurde naar 6000 medewerkers. Maar liefst 1000 medewerkers gaven vervolgens hun privégegevens door op een nep-site. Een ontluisterend aantal, vindt Ritzen.
Op de site van de UU staat hoe je een phishingmail kan herkennen. Ritzen: “Een valide organisatie zal nooit via de mail om je wachtwoord vragen. Als dat wel gebeurt, word dan heel erg boos. Geef in ieder geval nooit, maar dan ook nooit je gegevens af.”