Duizenden universiteitsstudenten en -medewerkers die dit jaar het doelwit waren van e-mailphishing-schema's, hebben het aas gegrepen. Gelukkig, ze werden niet gedupeerd door echte oplichters, maar door hun eigen scholen - in simulaties die bedoeld zijn om hen bedrevener te maken in het herkennen van echte bedreigingen.

Toen de Ohio State University in januari haar eerste studentgerichte phishing deed – een strategie die ook in het bedrijfsleven wordt gebruikt – klikte meer dan 18 procent van de ontvangers door. De op werknemers gerichte phishing-bewustzijnscampagne van de Universiteit van Alabama in Birmingham bleef steken op 7, 000 mensen in maart, of ongeveer een kwart van de ontvangers.

Ohio State tweedejaars Ezequiel Herrera, die er prat op gaat snel te reageren op berichten, werd twee keer overrompeld door de valse phishing-e-mails. De eerste keer, hij zei, hij was er trots op dat zijn school dat soort educatieve acties ondernam. De tweede keer liet hem gefrustreerd achter.

"Ik had zoiets van, 'Wauw, Ik ben echt, echt slecht, '" Herrera, 19, zei met een glimlach. Vanaf dat moment, hij zei, hij is voorzichtiger geworden bij het scrollen door e-mails van onbekende afzenders.

De nep-phishingberichten bootsen e-mails na over financiële hulp, vakantie, opnieuw instellen van wachtwoorden of andere onderwerpen maar tekenen van mogelijke fraude bevatten, zoals algemene begroetingen, verzoeken om dringende actie of informatie, spellingsfouten, en afzenders van onbekende domeinnamen. Ontvangers die op links in de e-mails klikken, worden doorgestuurd naar tips over goede cyberbeveiligingsgewoonten en hoe ze echte pogingen om wachtwoorden of andere gevoelige informatie te stelen, kunnen herkennen en rapporteren.

"Een phishing-simulatie helpt mensen de rol te begrijpen die ze spelen bij het beheren van beveiliging - dat het niet aan hun IT-ondersteuning of de helpdesk of wie dan ook is waar ze blindelings langs kunnen lopen, " zei Helen Patton, Chief information security officer van Ohio State. "Veel van wat een organisatie veilig maakt, is wat er gebeurt tussen een persoon en hun toetsenbord of hun telefoon."

Patton praat erover als een digitale vaccinatie, helpt individuen en de bredere campusgemeenschap te beschermen tegen cyberaanvallen die veel meer kunnen kosten dan de phishing-simulaties.

Net vorige maand, Amerikaanse aanklagers beschuldigden een groep Iraniërs van het hacken van de computersystemen van ongeveer 320 universiteiten in de VS en in het buitenland om miljarden dollars aan wetenschappelijk en technisch onderzoek te stelen dat vervolgens door de overheid werd gebruikt of met winst werd verkocht. Aanklagers zeiden dat spear-phishing-e-mails werden gebruikt om meer dan 100, 000 professoren, maar ze hebben die personen of hun scholen niet publiekelijk geïdentificeerd.

De staat Ohio gebruikt sinds 2016 phishing-simulaties voor werknemers. Ambtenaren zullen om veiligheidsredenen geen exacte resultaten bekendmaken, maar zeggen dat de reacties zijn verbeterd sinds de eerste rondes toen, bijvoorbeeld, een bericht over een printer op de tweede verdieping werd aangeklikt door mensen in faciliteiten die niet eens een tweede verdieping hadden.

In een haast, technologie-afhankelijke cultuur waarin zoveel mensen zoveel informatie binnen handbereik uitwisselen op smartphones en andere apparaten, Patton zei, de strijd zorgt ervoor dat mensen langzamer gaan.

de praktische, ervaringsgerichte training van nep-phishing is effectiever gebleken in vergelijking met diavoorstellingen, webinars of andere veelvoorkomende soorten trainingen die oud kunnen worden, zei Joanna Grama, die het cybersecurity-programma leidt bij technologievereniging voor hoger onderwijs EDUCAUSE.

Het risico, natuurlijk, is dat mensen zich bedrogen voelen, dus het is belangrijk dat de training leerzaam is, niet bestraffend, zei Grama.

In Alabama-Birmingham, een faculteitslid noemde de phishing-simulatie tijdverspilling, maar de meeste reacties waren positief, zei Curt Carver, de vice-president van de universiteit voor informatietechnologie, die zich tien jaar geleden herinnert dat hij voor het eerst hoorde over het concept van zelf-phishing.

Sommige mensen melden de berichten als verdacht, en anderen sturen antwoorden als "Ha, je hebt me!" of "Heb me deze keer niet begrepen!" Een paar, hij zei, interesse getoond om er meer een spel van te maken, willen meten hoe goed ze phishing-aanvallen detecteren in vergelijking met anderen.

"Ze hebben zich gerealiseerd... dat ze een held kunnen zijn, ze kunnen een persoon zijn die iedereen helpt beschermen, ' zei Carver.

© 2018 The Associated Press. Alle rechten voorbehouden.