Von Ivy-League-Universitäten bis zu persönlichen Daten: Akademische Datenpannen sind auf einem Allzeithoch!

Es brauchte nichts weiter als ein Telefonat mit einer vertrauten und überzeugenden Stimme, einen böswilligen Akteur, der sich als interner Kontakt ausgab, und genau den richtigen Insider am anderen Ende der Leitung. So kam ein erfahrener Hacker zu seinem 'Vish'.

Lernen Sie das brandneue Cyberkriminelle-Geschäftsmodell "Vishing" kennen.

Das Nachahmen einer vertrauten Entität, um Mitleid, Angst oder sogar Mitgefühl zu erregen und so wichtige Informationen wie Bankkontonummern, OTPs, Passwörter und mehr zu erhalten.

Hacker und Angreifer rüsten sich zu diesem überzeugenden Betrug als eine Form der bewaffneten Überzeugung auf.

Vertrautheit – eine psychologische Schlupfloch, die mühelos Firewalls, BitLocker, Antivirenprogramme durchbricht und tief in naives menschliches Vertrauen gräbt. Dies ist der Beginn aller Sicherheitsverletzungen, Betrügereien und Lösegeldangriffe. Denn Vertrautheit festigt Vertrauen, und digitales Vertrauen bedeutet so etwas wie: 'Ich kenne diese Person... Lass mich ihnen geben, was sie wollen.'

Je vertrauter deine digitalen Interaktionen werden, desto weniger misstrauisch wirst du, und genau diese Art von Leckereien fressen diese Angreifer.

In diesem Artikel tauchen wir darauf ein, wie eine Elite-Universität Opfer von etwas so Einfachem wie einem Telefonat mit einer vertrauten Stimme am anderen Ende der Leitung wurde.

Die IVY League Universität beherbergt 20.000 Dozenten und Mitarbeiter, 24.500 Studierende in Bachelor- und Masterprogrammen sowie 400.000 Alumni weltweit.

Bei Harvard wurden Datenbanken von Alumni, Spendern, Studierenden und Dozentenakten durchbrochen.

Das vermittelt eine laute Botschaft: Diese Hacker versuchen nicht nur, an Finanzdaten heranzuzapfen, sondern wollen Identitäten, Netzwerke, Einfluss, Hebelwirkung und Details wichtiger Studentenprofile.

Universitäten und andere Bildungseinrichtungen verfügen über eine Reiche an Informationen über persönliche Geschichten, bedeutende Alumni-Details und Familiennetzwerke, und das ist nur der persönliche Teil davon.

Was den tatsächlichen Preis betrifft, so sind diese Institutionen eine Goldgrube an Datensätzen, die Informationen zu Forschungsdokumenten, experimentellen Ergebnissen, Förderunterlagen und -kommunikation, akademischen Archiven und anderen höchst vertraulichen internen Kommunikationen und Informationen enthalten.

Der Sicherheitsvorfall legte Kontaktdaten, biografische Daten, E-Mail-Adressen, Telefonnummern, Wohn- und Geschäftsadressen sowie weitere sensible Informationen offen. Der Vorstoß enthielt außerdem Angaben zu den Ehepartnern der Alumni sowie Kontaktdaten aktueller Schüler und Eltern.

Finanzunterlagen, Passwörter und Sozialversicherungsnummer wurden nicht geleakt, aber Informationen über Spenden, Geschenke, Informationen zu Fundraising und Aktivitäten zur Alumni-Beteiligung wurden veröffentlicht.

Harvard schaffte es, jeglichen weiteren Zugriff zu blockieren, um unautorisierte Aktivitäten zu verhindern, und sie wandten sich an einen Drittanbieter im Bereich Cybersicherheit und die Strafverfolgungsbehörden, um weitere Vorfälle zu verhindern.

Obwohl Harvard im selben Jahr zweimal angegriffen wurde, waren auch andere Ivy-League-Universitäten wie die University of Pennsylvania und Princeton mit ähnlichen Verstößen konfrontiert.

Die Datenpanne der University of Pennsylvania:

Die Reaktion der Universität auf den Angriff:

Die infizierten Systeme wurden umgehend gesperrt, um weitere Eingriffe oder jeglichen unbefugten Zugriff zu verhindern. Sie wandten sich an eine Drittanbieter-Cybersicherheitsfirma, CrowdStrike, um den Vorfall zu untersuchen. Penn meldete diesen Vorfall außerdem dem FBI und hat nun auch die notwendigen von Oracle herausgegebenen Sicherheitspatches implementiert, um die ausgenutzten Sicherheitslücken zu beheben.

Der Princeton-Einbruch:

Die Reaktion der Universität auf den Angriff:

Nun, der Bruch dieses Jahres kann der Imitator des nächsten Jahres sein.

Es geht nie darum, was sie besitzen; Es geht immer darum, was sie mit all diesen Daten machen könnten. Es geht darum, wie sie das nutzen, um morgen etwas Gefährliches zu bauen.

Gestohlene Daten können entweder verkauft oder als Lösegeld gehalten werden, und das ist nur ein oberflächliches Erlebnis dessen, was tatsächlich passieren könnte.

Wenn ein Hacker eine Bildungseinrichtung angreift, will er nicht nur Daten absaugen. Sie wollen Druckmittel. Sie stehlen Daten, weil es ein multifunktionales Asset ist. Diese Daten können genutzt, verkauft, für Imitationen genutzt, als Geisel gehalten oder noch schlimmer, als Waffe eingesetzt und automatisiert werden.

Mit Universitäten im Fokus, insbesondere Ivy-League-Universitäten, sind die genutzten Studenten- und Dozentendaten von hohem Wert. Und das liegt daran, dass diese Studierenden oder Dozenten keine gewöhnlichen Menschen sind. Die Daten enthalten außerdem Informationen über Spender, Alumni, Professoren, Forscher und Spender mit hohem sozialem und finanziellem Kapital.

Heutzutage könnte eine einzelne Phishing-E-Mail oder eine E-Mail mit verlockenden Informationen Ihr gesamtes Bankkonto offenlegen – sei es ein Geschäftskonto, ein persönliches oder ein Gemeinschaftskonto. Das könnte sogar deine Anmeldeanfrage manipulieren oder sogar digitale Identitäten morgen kapern.

Und genau deshalb ist Verschlüsselung wichtig.

Bei der Verschlüsselung sehen sie selbst bei einer Sicherheitsverletzung höchstens nur Ihre Dateien, können sie aber niemals öffnen und die Informationen verändern.

Sobald akademische Daten oder irgendwelche Daten offengelegt oder kompromittiert werden, werden sie als Geisel auf Cyber-Marktplätze gebracht, wo sie entweder verkauft, kopiert, vervielfacht oder unbegrenzt dupliziert werden. Das bedeutet, dass geleakte Daten nie wirklich verschwunden sind.

Auch wenn es völlig harmlos erscheint, ist das nur Kanonenfutter für gezielte Cyberkriminalität und persönliche Belästigung. Der eigentliche Spaß für Hacker ist, dass sie nicht nur mit Rohdaten spielen. Sie spielen mit der damit verbundenen Glaubwürdigkeit.

Bei universitären Datenpannen geben sich Angreifer als vertrauenswürdige Personen im System der Universität aus, um Phishing-Versuche zu unternehmen und sozial bereicherte Taktiken einzusetzen, um sehr überzeugend zu wirken.

Dadurch ist das größte Risiko letztlich nicht die Informationsfreistellung. Es bedeutet, Vertrauen als Waffe zu nutzen, Vertrautheit als perfekte Schlupfloch zu nutzen, Verbindungen zu nutzen, um Zugang und Finanzen zu manipulieren, und eine einfache berufliche Beziehung, die einem Insider vertraut ist, um die vollständige Kontrolle zu übernehmen.

All dies und mehr unter dem Vorwand einer legitimen akademischen Verbindung.

Verschlüsselung ist keine Option mehr, und es ist definitiv keine Feuerübung, die nur gelegentlich stattfindet. Es muss eine tägliche Praxis unter Organisationen sein, um schwerwiegende Sicherheitsverletzungen zu verhindern.

Ob Verschlüsselung für geschäftliche Zwecke oder für den privaten Gebrauch – sie ist eine Investition in Ihre Ruhe und ein perfekter Schutz für Ihre Identität.

Verschlüsselung, wenn sie richtig implementiert ist, bedeutet im Grunde, dass selbst wenn jemand auf dein Gerät oder Laufwerk zugreifen würde, ihm nichts als unlesbarer und nutzloser Chiffre bleibt. Zum Beispiel ist die AES-256-Bit-Verschlüsselung eine der stärksten, unschlagbarsten und vertrauenswürdigsten Arten der Verschlüsselung. Und das Beste daran? AxCrypt bietet Ihnen dies, zusammen mit mehrschichtiger Sicherheit wie Passwortschutz und Datenpannenschutz.

Egal, ob Sie sichere Dateifreigabeoptionen für Dokumente wie Ihre Eigentumspapiere, juristische Dokumente, Forschungsmaterialien und andere Dokumente wünschen – diese Verschlüsselung ist ein stiller, aber lauter Schutzschild, der Ihre Privatsphäre und Ihren Geistesfrieden schützt.

Nicht alle Angriffe müssen eine digitale Schlupfloch sein. Manche brauchen einfach eine leichtgläubige Person im Team oder eine vertraute Stimme am anderen Ende der Leitung.

Hier ist eine einfache Regel, um einen Vishing-Angriff zu erkennen, der dich nicht übernimmt.

Hast du einen zufälligen Anruf bei der Arbeit bekommen? Kommt mir ziemlich bekannt vor, aber irgendetwas stimmt nicht? Überprüfen Sie diesen Anruf einfach mit einer einfachen, harmlosen und persönlichen Frage, die nur Sie und die andere Person, die sich ausgibt, wissen.

Zum Beispiel...

Imitator, der vorgibt, Herr David zu sein: Hey Jane... Ich brauche, dass du meinen Laptop öffnest und mir sofort die "ABC"-Datei schickst.

Hier entfaltet sich der Bruch GENAU.

Entweder kann Jane von der Kontoabteilung dem Imitator die Akte geben und das Unternehmen bankrott machen, ODER sie kann einen Vishing-Angriff verhindern und mit einer richtig guten Gehaltserhöhung für diesen Umzug befördert werden.

Jane: Klar. Das mache ich. Aber hey, wie lief dein Zahnarzttermin? Haben sie den Zahn entfernt?

Jetzt antwortet der Imitator, nur um mitzuspielen, bis er das in die Hände bekommt, wonach er sucht. Aber Jane ist klüger. Sie legt sofort auf und informiert Herr David, der mit seiner Familie in Bora Bora Urlaub macht.

Dies ist nur ein Beispiel dafür, wie Ihre Instinkte zusammen mit einer Zero-Knowledge-Verschlüsselungssoftware Sie davor bewahren könnten, die nächste Schlagzeile des Sicherheitsvorfalls zu werden.