Criminelen maken 2000 valse Fontys-accounts aan
Hogeschool past aanmeldprocedure aan
Via valse accounts van Nederlandse hogescholen en universiteiten hebben cybercriminelen het voorbije studiejaar in het buitenland bankrekeningen geplunderd en bedrijven en individuen opgelicht. Ook Fontys is in die periode geconfronteerd met zo’n 2000 nepaccounts.
De online fraude wordt uit de doeken gedaan in een deze zomer gepubliceerd artikel van Profielen, een uitgave van de Hogeschool Rotterdam (HR). Hoofd databeveiliging Jeffry Sleddens van die instelling volgde maandenlang de gangen van de internetcriminelen en ontdekte waarvoor zij nepaccounts van HR zoal gebruikten.
Dat was niet mis: er werden onder meer bankrekeningen leeggehaald, dure laptops besteld maar nooit betaald en phishing-aanvallen opgezet. Ook ontstond een lucratieve handel in Netflix-accounts.
Valse identiteit
Met de nepaccounts van Nederlandse hogescholen en universiteiten verkregen de buitenlandse daders – vermoedelijk opereerden zij vooral vanuit Bulgarije en Afrika – credits van Amazon. Bij de online-gigant kan hiermee, in combinatie met een educatief mailadres, computercapaciteit in de cloud worden gekocht. Met deze valse identiteit werden de digitale vergrijpen gepleegd.
Hoe konden zij aan die valse accounts van onder meer Fontys komen?
Het gaat hierbij enkel om de aanmeldprocedure via Studielink voor studenten. Langs die weg krijgen zij een account bij de hoger onderwijsinstelling waar hun studie onder valt. Daarvoor is wel een DigiD-verificatie nodig. Studielink en, in dit geval, Fontys kunnen er op vertrouwen zo de ware identiteit te krijgen.
Geen DigiD
Buitenlandse studenten hebben echter geen DigiD. Hun identiteit werd pas gecontroleerd nadat ze al een Fontys-account hadden gekregen. Van die mogelijkheid hebben de dieven, via Studielink, veelvuldig gebruikgemaakt.
Volgens functionaris gegevensbescherming Gisa de Jonge van Fontys verkregen de criminelen op die manier serverruimte bij Amazon Web Services, tot de credits op waren. “Daarna hadden ze weer nieuwe accounts nodig. Wij zagen golfbewegingen in het aantal valse aanmeldingen.”
Wat De Jonge en collega’s van het Information & Security Office van Fontys niet konden zien, was waar die accounts voor gebruikt werden. Duidelijk zichtbaar was alleen dat er vanaf september 2019 veel valse werden aangemaakt; vaak met echt lijkende namen, soms met bijvoorbeeld ‘xcccc3’ als inlog.
Kwartje gevallen
Ondertussen had de Dienst Studentenvoorzieningen (SV), verantwoordelijk voor de inschrijvingen, de handen vol aan het verwijderen van nepaccounts. Dat die werden gebruikt voor criminele doeleinden, dat kwartje viel pas nadat De Jonge en een collega begin dit jaar de Security- en Privacyconferentie van digitaliseringsorganisatie SURF bijwoonden. Daar gaf Sleddens van Hogeschool Rotterdam een lezing over zijn bizarre ontdekkingen tot dan toe.
De Jonge: “Ons gevoel was: wij werken mee aan criminaliteit. Dit moeten we stoppen. Toen zijn we met man en macht gaan kijken hoe we die aanmeldprocessen konden omgooien. Dat is deze zomer afgerond.”
Laat
Rijkelijk laat, dat geeft ze toe. Maar het was ook niet ‘zo gezegd, zo gedaan’: “Die aanmeldprocedures waren er om een reden. Ze zijn er niet zomaar even tussenuit te slopen.”
Als voorbeeld noemt De Jonge Fontys Hogeschool voor de Kunsten. Voor sommige opleidingen van FHK moeten studenten eerst auditie doen en grote bestanden aanleveren. Daar hebben ze zo’n account voor nodig. Het kostte de Dienst SV behoorlijk wat inspanningen om alle 28 instituten te overtuigen van nut en noodzaak van de aanpassing.
Opleidingen hebben ook last gehad van de grote hoeveelheid valse aanmeldingen. Die vertroebelen het beeld van het percentage aanmeldingen dat heeft geleid tot een inschrijving. Met name studies die vooraan in het alfabet voorkomen, zoals Ad (Associate degree) Accountancy en Ad Elektrotechniek, waren populair bij de criminelen.
Met paspoort
Fontys heeft inmiddels maatregelen getroffen. Ook buitenlandse studenten moeten zich voortaan tijdens hun aanmelding bij de instelling met een paspoort legitimeren. Studielink heeft eveneens ingegrepen en overweegt bovendien om zelf de identiteit van aanmelders te checken.
Blijft de vraag: hebben de criminelen Fontys-nepaccounts gebruikt? De Jonge: “Wij hebben dat niet uitgezocht zoals Hogeschool Rotterdam heeft gedaan. Maar ik denk wel dat het in ons geval niet anders zal zijn geweest.” [Tim Durlinger]