Ruim 11.000 medewerkers van 17 Gelderse gemeenten en organisaties zijn de afgelopen twee weken onderwerp geweest van een grootschalige, gecontroleerde phishingoefening, uitgevoerd door Arnhemse studenten van Rijn IJssel. De uitkomst is opvallend: 12,7% van de deelnemers trapte in de nep-phishingmails die studenten van Rijn IJssel ontwikkelden.
Zorgwekkende resultaten
In totaal werden 12.325 phishingmails verstuurd naar 11.476 gebruikers. De resultaten laten zien dat phishing een serieuze bedreiging vormt:
- 12,7% van de deelnemers werd gephished (1.561 van de 12.325)
- 38,8% opende de phishingmail
- 17,4% opende een bijlage, met mogelijk malware erin
- 7,7% klikte op een link in de phishingmail
- 5,1% deelde gevoelige data, zoals een wachtwoord, via een neppagina
Met name het percentage medewerkers dat gevoelige gegevens invulde, ruim 1 op de 20, baart zorgen. De ene phishingmail was beter als zodanig te herkennen dan de andere. De campagne laat zien dat er rondom bewustwording over digitale veiligheid bij de deelnemende gemeenten en organisaties zeker nog te winnen valt.
Studenten als ethische hackers
De phishingcampagnes werden volledig ontwikkeld en uitgevoerd door studenten van Rijn IJssel, met toestemming van de deelnemende organisaties. Zij ontwierpen realistische phishingmails waarna deze via het systeem van Outkept werden verstuurd.
Dave Aaldering, mede-eigenaar SPL: “Met de Phishathon laten we studenten realistische aanvallen simuleren zodat organisaties direct zien waar hun kwetsbaarheden zitten én vergroten we het kennisniveau van aankomende IT-specialisten.”
Ook vanuit het onderwijs wordt de waarde van deze aanpak benadrukt: “Digitale veiligheid is geen theoretisch vakgebied, maar een vaardigheid die je alleen ontwikkelt door in echte situaties te oefenen. Studenten ervaren hoe cyberdreigingen in de praktijk werken, terwijl organisaties directe inzichten krijgen om hun weerbaarheid te vergroten,” zegt Alexander van der Koevering, voorzitter bestuurscommissie MBO Digitaal & lid College van Bestuur Rijn IJssel.
Zo zag een van de nepmails eruit
Over de Phishathon
De Phishathon is een initiatief van cybersecuritybedrijf SPL, Rijn IJssel en Outkept. Het is de eerste in zijn soort in Nederland. Het evenement combineert praktijkgericht onderwijs met een directe bijdrage aan de digitale weerbaarheid van Gelderse organisaties.
Onderdeel van bredere hackathon
De Phishathon maakte deel uit van een 24-uur durende Hackathon op 1 en 2 april bij Rijn IJssel in Arnhem. Tijdens dit evenement worden de resultaten van de phishingcampagnes gepresenteerd en wordt een prijs uitgereikt voor de meest overtuigende phishingmail.
De Phishathon past in een bredere context van toenemende digitale dreiging. Volgens het CBS werd in 2025 circa 17% van de Nederlanders (2,5 miljoen mensen) slachtoffer van online criminaliteit. Uit onderzoek van SIDN bleek bovendien dat 58% van de Nederlandse bedrijven het afgelopen jaar doelwit was van phishing.
Over de organiserende partijen
SPL is een cybersecuritybedrijf gevestigd in Arnhem dat organisaties helpt hun digitale weerbaarheid te vergroten.
Rijn IJssel is een regionaal mbo-opleidingsinstituut in Arnhem dat actief inzet op praktijkgericht onderwijs in digitale veiligheid.
Outkept is gespecialiseerd in ethical hacking en cybersecurity-dienstverlening.
