E-mailfilter moet TU Delft beschermen tegen phishing

Phishing, een vorm van digitale oplichting waarbij criminelen gevoelige informatie als bank- en inloggegevens proberen buit te maken, is een groeiend probleem. Ook aan de TU Delft. 

De TU maakt daarom sinds vorige week gebruik van een nieuw e-mailfilter: Proofpoint. Dat controleert links in e-mails afkomstig van externe partijen op alle locaties en op alle apparaten die een medewerker gebruikt. Het systeem biedt dus zowel op de universiteit als thuis bescherming op je computer, laptop, tablet, telefoon en andere draagbare technologie.

Duizenden valse e-mails
Is zo’n filter echt nodig? Volgens Marthe Uitterhoeve, lead security officer, wel: “Dankzij alerte medewerkers ontvangt het securityteam (onderdeel van de afdeling ICT) maandelijks enkele honderden berichten via abuse@tudelft.nl, maar toch glippen er af en toe malafide berichten doorheen.”

Zo kreeg het securityteam afgelopen jaar vier ernstige incidenten voor haar kiezen, waarbij oplettende medewerkers enkele duizenden verdachte mails rapporteerden. Bij een van deze incidenten misbruikten de criminelen zelfs de mailbox van een medewerker om TU-medewerkers een phishing mail te versturen. Hoewel deze actie de TU niet beschadigde, belastte die het securityteam wel flink door de vele berichten die het abuse e-mailadres ontving.

Behalve een toename van malafide e-mails constateerde het securityteam de afgelopen jaren als gevolg daarvan ook enkele gevallen van ransomware, waarbij hackers een computer gijzelen; de computer wordt pas na betaling van losgeld vrijgegeven.

Ook diefstal van wachtwoorden komt regelmatig voor, vertelt Uitterhoeve. “Soms is er zelfs sprake van geopolitieke spionage. Hackers proberen specifieke personen, bijvoorbeeld binnen een interessante vakgroep, met phishing emails te misleiden.”

En mijn privacy dan?
Hoewel het prettig is dat de TU zich beter beveiligt, voelt het toch alsof er nu altijd iemand meeleest. Maar volgens Uitterhoeve hoeven we ons geen zorgen te maken over onze privacy. “Het proces is volledig geautomatiseerd en het filtersysteem draait in het datacenter van de TU zelf. Dit betekent dat e-mails niet inzichtelijk zijn voor derden en er geen e-mails naar externe partijen gaan. Wel worden bijlagen en url’s geautomatiseerd geanalyseerd op malware (kwaadaardige software) in datacenters van Proofpoint. Tenzij ze malafide blijken, worden deze bijlagen en url’s niet opgeslagen. Om de privacy te beschermen zijn onder andere strikte afspraken vastgelegd in een verwerkersovereenkomst.”

Zijn we nu vrij van malafide infiltraties? “Nee”, zegt Uitterhoeve, “het filter is niet honderd procent waterdicht. Het herkent een spatie in een link niet, zoals in tudelft .nl. Ook ceo-fraude is lastig op te sporen.” Ceo-fraude? “Dit is een vorm van misbruik waarbij iemand zich voordoet als collega of leidinggevende met als doel je te verleiden geld over te maken. Hiervoor worden vaak e-mailadressen als naam.achternaam.tudelft@hotmail.com gebruikt. In deze mails zitten geen links, waardoor ze gemakkelijk door het filter komen.”

Blijf daarom altijd alert, adviseert Uitterhoeve. Wil je weten hoe? Lees hier hoe je een valse e-mail herkent.
 

Hoe werkt het nieuwe e-mailfilter?

• Het nieuwe filter van Proofpoint draait op de mailserver van de TU en opereert onafhankelijk van werkplek en apparaat.
• Het filter scant alleen berichten afkomstig van afzenders buiten de TU Delft.
• Bijlagen worden gescand in het European Data Centre van Proofpoint in Duitsland. Ook links in bijlagen worden geanalyseerd.
• Url’s worden door de TU-mailserver herschreven en éénmalig geanalyseerd vanuit het Proofpoint Data Centre in de Verenigde Staten. Wanneer een link kwaadaardig blijkt, worden het e-mailadres van de eerste klikker en de kwaadaardige link vastgelegd. Voor de TU is het belangrijk te weten wie deze eerste klikker was, zodat diegene kan worden benaderd om te onderzoeken of zijn/haar systeem niet verder is geïnfecteerd.
• Alle gegevens zijn versleuteld en niet herleidbaar tot een persoon voor Proofpoint.
• Interne e-mails (van en naar TU Delft e-mailadressen) worden niet geanalyseerd of vastgelegd.
• Een verwerkingsovereenkomst tussen de TU Delft en Proofpoint legt de bescherming van de gegevens vast. Op de overeenkomst is Nederlands recht van toepassing en, om de naleving van de AVG te waarborgen, is Proofpoint Privacy Shield gecertificeerd.