من جامعات رابطة اللبلاب إلى البيانات الشخصية: اختراقات البيانات الأكاديمية في أعلى مستوياتها على الإطلاق!"

لم يتطلّب الأمر أكثر من مكالمة هاتفية بصوت مألوف ومقنع، ومهاجم خبيث ينتحل صفة جهة داخلية، والشخص المناسب من داخل المؤسسة على الطرف الآخر من الخط. هكذا حصل مخترق ماهر على «ضحيته» عبر هجوم التصيّد الصوتي (Vishing).

تعرّف على نموذج أعمال الجرائم الإلكترونية الجديد كليًا: «التصيد الصوتي

فعل انتحال صفة جهة مألوفة لإثارة الشفقة أو الخوف أو حتى التعاطف من أجل الحصول على معلومات حسّاسة مثل أرقام الحسابات البنكية، وأرقام التحقق لمرة واحدة (OTP)، وكلمات المرور، وغيرها.

يلجأ القراصنة والمهاجمون إلى هذا النوع المقنع من الاحتيال باعتباره شكلاً من أشكال الإقناع المُسلَّح.

الألفة – ثغرة نفسية تتجاوز بسهولة جدران الحماية خزانة بت وبرامج مكافحة الفيروسات، وتغرس مخالبها عميقًا في ثقة الإنسان الساذجة. إنها بداية جميع الاختراقات وعمليات الاحتيال وهجمات الفدية. فالألفة ترسّخ الثقة، والثقة الرقمية تتحول إلى شيء يشبه: «أعرف هذا الشخص… دعني أقدّم له ما يطلبه».

كلما أصبحت تفاعلاتك الرقمية أكثر ألفة، كلما قلت شكوكك، وهذا بالضبط نوع الفخاخ التي يتغذى عليها هؤلاء المهاجمون.

في هذا المقال، سنتعمق في كيفية وقوع جامعة مرموقة ضحية لشيء بسيط بقدر مكالمة هاتفية بصوت مألوف على الطرف الآخر من الخط.

تضم جامعة رابطة الـ IVY نحو 20,000 عضو هيئة تدريس وموظف، و24,500 طالب في برامج البكالوريوس والدراسات العليا، و400,000 خريج حول العالم.

في حالة هارفارد، تم اختراق قواعد بيانات خريجين، والمتبرعين، وطلاب، وسجلات أعضاء هيئة التدريس.

هذا يصرخ برسالة واحدة بصوت عالٍ، وهي: هؤلاء القراصنة لا يسعون فقط للوصول إلى البيانات المالية، بل يريدون الهويات، والشبكات، والنفوذ، والقدرة على التأثير، وتفاصيل الملفات الشخصية للطلاب المهمين.

تحمل الجامعات والمؤسسات التعليمية الأخرى ثروة من المعلومات فيما يتعلق بالتاريخ الشخصي، وتفاصيل الخريجين البارزين، وشبكات العائلات، وهذا مجرد الجزء الشخصي منها.

ما بالنسبة للقيمة الحقيقية، فهذه المؤسسات تُعد منجمًا ذهبياً من قواعد البيانات التي تحتوي على معلومات حول الوثائق البحثية، ونتائج التجارب، وسجلات المنح، والمراسلات، والأرشيف الأكاديمي، وغيرها من الاتصالات والمعلومات الداخلية شديدة السرية.

ماذا تم الكشف عنه؟

أدى الاختراق إلى كشف تفاصيل الاتصال، والبيانات الشخصية، وعناوين البريد الإلكتروني، وأرقام الهواتف، والعناوين المنزلية والعمل، وغيرها من المعلومات الحساسة. كما شمل الاختراق معلومات عن أزواج وأزواج الخريجين، وتفاصيل الاتصال بالطلاب الحاليين وأولياء أمورهم.

لم يتم تسريب السجلات المالية، أو كلمات المرور، أو أرقام الضمان الاجتماعي، لكن تم الكشف عن معلومات تتعلق بالتبرعات والهدايا، ومعلومات مرتبطة بأنشطة جمع التبرعات والتفاعل مع الخريجين.

رد الجامعة على الهجوم

تمكنت جامعة هارفارد من منع أي وصول إضافي للحماية من أي نشاط غير مصرح به، كما لجأت إلى شريك خارجي في الأمن السيبراني والسلطات القانونية لمنع وقوع أي حوادث أخرى.

بينما تعرّضت جامعة هارفارد لهجومين في نفس العام، واجهت جامعات أخرى في رابطة الـIvy League، مثل جامعة بنسلفانيا وبرينستون، خروقات مماثلة أيضًا.

خروقات بيانات جامعة بنسلفانيا

وقع الاختراق في 30 أكتوبر. استخدم المهاجمون حساب الدخول الموحد (SSO) الخاص بأحد الموظفين عبر PennKey لاختراق نظام Salesforce التابع للجامعة، ومنصة تحليلات Qlik، وأنظمة ذكاء الأعمال SAP، وملفات شيربوينت.

سرق المخترقون 1.71 جيجابايت من المستندات الداخلية من منصتَي شيربوينت وBox Storage، والتي تضمنت مستندات، ومعلومات مالية، ومواد تسويقية خاصة بالخريجين.

ادعاء آخر في عملية السرقة الرقمية هو أنهم ربما سرقوا ما يقارب 1.2 مليون سجل من المعلومات الشخصية (PII)، بما في ذلك تاريخ التبرعات وتفاصيل ديموغرافية أخرى.

كما أرسل المخترقون رسائل بريد إلكتروني جماعية من نطاق Penn.edu، لم تقتصر على رسائل مسيئة فحسب، بل أدّت أيضًا إلى كشف عشرات الآلاف من ملفات الجامعة الداخلية على منتديات الإنترنت.

رد الجامعة على الهجوم:

تم على الفور حظر الأنظمة المصابة لمنع أي اختراق إضافي أو أي وصول غير مصرح به. لجأت الجامعة إلى شركة الأمن السيبراني الخارجية "كراودسترايك" للتحقيق في الحادثة. كما أبلغت جامعة بن هذا الحادث إلى مكتب التحقيقات الفيدرالي (FBI)، وقد قامت الآن أيضًا بتنفيذ التحديثات الأمنية اللازمة التي أصدرتها شركة أوراكل لسد الثغرات المستغلة.

خرق برينستون

وقع اختراق قاعدة بيانات جامعة برينستون في 10 نوفمبر، وكان هذا أيضًا هجوم تصيّد هاتفي.

على الرغم من أن الاختراق استمر لأقل من 24 ساعة، إلا أن له تأثيرًا طويل الأمد، وذلك لأن الاختراق كشف معلومات تتعلق بأنشطة جمع التبرعات والتبرعات.

تقول المصادر إن الهجوم عرّض المعلومات الشخصية لنحو 100,000 شخص للخطر.

وفقًا لمصادر أخرى، فقد ذكر أحدها أن القراصنة قد حصلوا على معلومات كافية وأكثر لارتكاب سرقة الهوية وإلحاق الضرر بآلاف الأفراد.

قد تستغرق التحقيقات عدة أسابيع لفحص البيانات التي تم اختراقها بالضبط.

رد الجامعة على

تم إيقاف الهجوم خلال 24 ساعة.

تم الاستعانة بفريق خارجي من خبراء الأمن السيبراني، وتم أيضًا إخطار الجهات المسؤولة عن تطبيق القانون والنظام.

كما أبلغت جامعة برينستون المجتمع بضرورة اليقظة تجاه هجمات التصيد الاحتيالي، وعملت أيضًا على تعزيز بروتوكولات الأمن السيبراني والتدريب المتعلق به

حسنًا، اختراق هذا العام قد يكون الشخص المنتحل للهوية في العام المقبل.

لا يتعلق الأمر أبدًا بما يمتلكونه من بيانات، بل بما يمكنهم فعله بكل تلك البيانات. الأمر يتعلق بكيفية استخدامها لبناء شيء خطير في المستقبل.

يمكن بيع البيانات المسروقة أو الاحتفاظ بها لطلب فدية، وهذا لا يعدو كونه مجرد نظرة سطحية لما قد يحدث فعليًا.

عندما يهاجم مخترق مؤسسة تعليمية، فهو لا يسعى فقط إلى سحب البيانات. بل يبحث عن ورقة ضغط. تتم سرقة البيانات لأنها أصل متعدد الاستخدامات؛ يمكن استخدامها أو بيعها، أو استغلالها في انتحال الهوية، أو احتجازها مقابل فدية، أو ما هو أسوأ من ذلك، تحويلها إلى سلاح وتشغيلها بشكل آلي.

ومع تركيز الهجمات على الجامعات، ولا سيما جامعات رابطة الآيفي ليغ، تصبح بيانات الطلاب وأعضاء هيئة التدريس المستغلة ذات قيمة عالية. وذلك لأن هؤلاء الطلاب وأعضاء هيئة التدريس ليسوا أفرادًا عاديين فحسب؛ إذ تشمل البيانات أيضًا معلومات عن المتبرعين والخريجين والأساتذة والباحثين، وهم أشخاص يتمتعون برأس مال اجتماعي ومالي مرتفع.

اليوم، قد يؤدي بريد إلكتروني واحد للتصيّد الاحتيالي، أو رسالة تحتوي على معلومات مغرية، إلى كشف حسابك البنكي بالكامل، سواء كان حسابًا تجاريًا أو شخصيًا أو مشتركًا. بل وقد يُستخدم ذلك للتلاعب بمحاولات تسجيل الدخول الخاصة بك، أو حتى لاختطاف هويتك الرقمية في المستقبل.

وهذا بالضبط السبب الذي يجعل التشفير أمرًا مهمًا.

مع التشفير، حتى لو حدث اختراق، فإن أقصى ما يمكنهم رؤيته هو ملفاتك فقط، لكنهم لا يستطيعون أبدًا فتحها أو تعديل المعلومات الموجودة بداخلها.

بمجرد كشف البيانات الأكاديمية أو أي نوع من البيانات أو اختراقها، يتم احتجازها ونقلها إلى الأسواق الإلكترونية غير القانونية، حيث تُباع أو تُنسخ أو تُضاعف وتُكرر إلى ما لا نهاية. وهذا يعني أن البيانات المسربة لا تختفي أبدًا بشكل كامل.

ورغم أن الأمر قد يبدو غير ضار تمامًا، إلا أن هذه البيانات تصبح مادة خام لجرائم إلكترونية موجهة ومضايقات شخصية. والمتعة الحقيقية بالنسبة للمخترقين لا تكمن في التعامل مع بيانات خام فقط، بل في العبث بالمصداقية المرتبطة بهذه البيانات.

في حالات اختراق البيانات على مستوى الجامعات، ينتحل المهاجمون صفة أشخاص موثوقين داخل أنظمة الجامعة لتنفيذ محاولات تصيّد احتيالي، ويستخدمون أساليب مدعومة بالهندسة الاجتماعية تبدو مقنعة للغاية.

ومن خلال ذلك، فإن الخطر الأكبر في النهاية ليس مجرد كشف المعلومات، بل تحويل الثقة إلى سلاح، واستغلال الألفة كثغرة مثالية، واستخدام الروابط والعلاقات للتلاعب بالوصول والصلاحيات والموارد المالية، والاعتماد على علاقة مهنية بسيطة ومألوفة لشخص من الداخل من أجل السيطرة الكاملة.

كل ذلك وأكثر يتم تحت غطاء اتصال أكاديمي يبدو شرعيًا.

لم يعد التشفير خيارًا، وبالتأكيد ليس مجرد إجراء احترازي يُطبق بين الحين والآخر. بل يجب أن يصبح ممارسة يومية داخل المؤسسات لمنع حدوث اختراقات جسيمة.

سواء كان التشفير للأعمال أو للاستخدام الشخصي، فهو استثمار في راحة بالك وحماية مثالية لهويتك.

كيف يعمل التشفير

التشفير، إذا تم تنفيذه بشكل صحيح، يعني أساسًا أنه حتى إذا تمكن شخص ما من الوصول إلى جهازك أو القرص الصلب الخاص بك، فلن يجد سوى نص مشفر غير قابل للقراءة وعديم الفائدة. على سبيل المثال، يُعد تشفير AES-256-bit من أقوى وسائل التشفير وأكثرها أمانًا وموثوقية. والأفضل من ذلك؟ يقدم لك AxCrypt هذا، بالإضافة إلى طبقات أمان إضافية مثل حماية بكلمة مرور ومنع تسرب البيانات.

سواء كنت تبحث عن خيارات آمنة لمشاركة الملفات مثل أوراق الملكية، والمستندات القانونية، والمواد البحثية، وغيرها من الوثائق، فإن هذا التشفير يُعد درعًا صامتًا لكنه قوي يحمي خصوصيتك وراحة بالك.

ليست كل الهجمات بحاجة إلى ثغرة رقمية. فبعضها يحتاج فقط إلى شخص ساذج ضمن الفريق، أو صوت مألوف على الطرف الآخر من الخط.

إليك قاعدة بسيطة لاكتشاف هجوم التصيد الصوتي(التصيد الصوتي قبل أن يتمكن من السيطرة عليك.

هل تلقيت مكالمة عشوائية في العمل؟ تبدو مألوفة جدًا، لكن هناك شيء غير مريح؟ فقط تحقّق من المكالمة بسؤال بسيط، غير ضار، وشخصي لا يعرف إجابته إلا أنت والشخص الحقيقي الذي يتم انتحال هويته.

على سبيل المثال.

المنتحل الذي يتظاهر بأنه السيد ديفيد: مرحبًا يا جين… أحتاج منك فتح حاسوبي المحمول وإرسال ملف “ABC” إليّ فورًا.

وهنا بالضبط يبدأ حدوث الاختراق

إمّا أن تقوم جين، من قسم الحسابات، بإعطاء الملف للمُنتحلّ فتتسبّب في إفلاس الشركة، أو أن تمنع هجوم تصيّد صوتي (التصيد الصوتي) وتحصل على ترقية وزيادة كبيرة جدًا في الراتب تقديرًا لهذا التصرّف الذكي الذي قامت به.

**جين: بالتأكيد، سأفعل ذلك. لكن بالمناسبة، كيف سارت زيارة طبيب الأسنان؟ هل قاموا بخل

الآن سيقوم المنتحل بالرد، فقط لمجاراة الأمر إلى أن يتمكّن من الحصول على ما يبحث عنه. لكن جين أذكى من ذلك؛ فهي تُنهي المكالمة فورًا وتُبلغ السيد ديفيد، الذي يقضي إجازته في بورا بورا مع عائلته.

الآن هذا مجرد مثال على كيف يمكن لغرائزك، إلى جانب برنامج تشفير صفر المعرفة، أن ينقذك من أن تكون عنوان الاختراق التالي.