Dalle università della Ivy League ai dati personali: le violazioni accademiche dei dati sono ai massimi storici!

È bastata una telefonata con una voce familiare e convincente, un soggetto malevolo che si spacciava per un contatto interno e l’insider giusto dall’altra parte della linea. È così che un hacker esperto ha ottenuto il suo “vish”.

Incontra il nuovissimo modello di business per i cybercriminali, 'Vishing'.

Fingersi una persona o un’organizzazione nota per suscitare fiducia o timore e ottenere informazioni sensibili come conti bancari, OTP o password.

Hacker e criminali informatici stanno adottando questa truffa altamente convincente come forma di persuasione mirata.

Familiarità – una scappatoia psicologica che aggira facilmente firewall, BitLocker, antivirus, facendo leva sulla fiducia umana. È spesso da qui che hanno origine violazioni, truffe e attacchi ransomware. La familiarità rafforza la fiducia e, nel mondo digitale, questa fiducia si trasforma facilmente in pensieri come: “Conosco questa persona… diamole ciò che chiede”.

Più le tue interazioni digitali diventano familiari, meno sospettosi si diventa, ed è proprio questo il tipo di prelibatezze di cui questi aggressori si nutrono.

In questo articolo approfondiremo come un'università d'élite sia stata vittima di una semplice telefonata con una voce familiare dall'altra parte della linea.

L'università della Ivy League ospita 20.000 docenti e personale, 24.500 studenti sia in programmi di laurea triennale che post-laurea e 400.000 ex studenti in tutto il mondo.

Ad Harvard sono stati violati i database di ex studenti, donatori, studenti e registri docenti.

Questo lancia un messaggio chiaro e inequivocabile: questi hacker non mirano solo ad accedere a dati finanziari, ma puntano a identità, reti, influenza, leve di potere e ai dettagli di profili studenteschi di particolare rilievo.

Le università e le altre istituzioni educative custodiscono una grande quantità di informazioni, che spaziano dalle storie personali ai dettagli su alunni di rilievo e alle reti familiari, e questa è solo la componente legata ai dati personali.

Per quanto riguarda il valore reale, queste istituzioni rappresentano una vera e propria miniera d’oro di dataset che contengono informazioni su documenti di ricerca, risultati sperimentali, registri dei finanziamenti, comunicazioni, archivi accademici e altre comunicazioni e informazioni interne di natura altamente confidenziale.

La violazione ha messo in luce dettagli di contatto, dati biografici, indirizzi e-mail, numeri di telefono, indirizzi di casa e aziendali, e altre informazioni sensibili. La violazione includeva anche i dettagli dei coniugi degli ex studenti, i contatti degli studenti attuali e dei genitori.

Non sono stati divulgati registri finanziari, password e SSN, ma sono state esposte informazioni su regali, donazioni, informazioni relative alla raccolta fondi e attività di coinvolgimento degli ex studenti.

Harvard è riuscita a bloccare ogni ulteriore accesso per prevenire qualsiasi attività non autorizzata e si è anche rivolta a un partner esterno di cybersecurity e alle forze dell’ordine per evitare il ripetersi di ulteriori incidenti.

Sebbene Harvard sia stata colpita ben due volte nello stesso anno, anche altre università della Ivy League, come l’Università della Pennsylvania e Princeton, hanno subito violazioni simili.

La violazione dati dell'Università della Pennsylvania:

La risposta dell'Università all'attacco:

I sistemi compromessi sono stati immediatamente isolati per prevenire ulteriori intrusioni o accessi non autorizzati. L’università si è inoltre affidata a una società di cybersecurity di terze parti, CrowdStrike, per condurre le indagini sull’incidente. Penn ha anche segnalato l’accaduto all’FBI e applicato le patch di sicurezza rilasciate da Oracle per correggere le vulnerabilità sfruttate.

La violazione di Princeton:

La risposta dell'Università all'attacco:

Una violazione di quest’anno può essere sfruttata per imitazioni e truffe l’anno prossimo.

Non conta tanto ciò che hanno, ma cosa potrebbero fare con tutti quei dati. Si tratta di come potrebbero usarli per creare qualcosa di pericoloso in futuro.

I dati rubati possono essere venduti o utilizzati per chiedere un riscatto, e questa è solo una panoramica superficiale di ciò che potrebbe realmente accadere.

Quando un hacker prende di mira un’istituzione educativa, non si limita a sottrarre dati. Cerca leva. I dati vengono rubati perché sono un asset versatile e riutilizzabile: possono essere sfruttati, venduti, usati per l’impersonificazione, tenuti in ostaggio a scopo di riscatto o, peggio ancora, trasformati in strumenti automatizzati e dannosi.

Con le università sotto la lente, in particolare quelle della Ivy League, i dati di studenti e docenti sfruttati hanno un valore molto elevato. Questo perché studenti e docenti non sono semplici individui qualsiasi. I dati includono anche informazioni su donatori, ex studenti, professori e ricercatori, persone che vantano un alto capitale sociale e finanziario.

Oggi, una singola email di phishing, o un messaggio contenente informazioni apparentemente allettanti, può esporre l’intero conto bancario, aziendale, personale o cointestato. Può persino manipolare le richieste di accesso e arrivare, domani, a prendere il controllo delle identità digitali.

Ed è proprio per questo che la crittografia è importante.

Con la crittografia, anche in caso di violazione, nella peggiore delle ipotesi chi accede può vedere i tuoi file, ma non potrà mai aprirli né modificare le informazioni.

Una volta che i dati accademici, o qualsiasi altro tipo di dato, vengono esposti o compromessi, finiscono nei marketplace informatici, dove vengono venduti, copiati, moltiplicati o duplicati potenzialmente all’infinito. Questo significa che i dati trapelati non vengono mai davvero recuperati o “cancellati”.

Sebbene possa sembrare del tutto innocuo, questo tipo di informazioni rappresenta un vero e proprio terreno fertile per cybercrimini mirati e molestie personalizzate. Il vero vantaggio per gli hacker, infatti, non è solo la disponibilità di dati grezzi, ma la credibilità che questi dati portano con sé e che può essere sfruttata a loro favore.

Nelle violazioni di dati che coinvolgono le università, gli attaccanti si spacciano per figure considerate affidabili all’interno del sistema accademico, con l’obiettivo di lanciare campagne di phishing e sfruttare tattiche di ingegneria sociale avanzate per apparire estremamente convincenti.

In questo scenario, il rischio maggiore non è tanto l’esposizione diretta delle informazioni, quanto l’abuso della fiducia. La familiarità diventa un’arma, una scappatoia perfetta: la connessione umana viene sfruttata per manipolare accessi, finanze e processi, utilizzando una semplice relazione professionale consolidata con un insider per ottenere il controllo completo.

Tutto questo e altro ancora, presentandosi come un contatto accademico affidabile.

La crittografia non rappresenta più un'opzione, e sicuramente non è più un'esercitazione antincendio che avviene ogni tanto. Deve divenire una prassi quotidiana tra le organizzazioni al fine di prevenire gravi violazioni.

Che si tratti di crittografia per l'azienda o solo per uso personale, è un investimento per la tua tranquillità e una protezione perfetta per la tua identità.

La crittografia, se implementata correttamente, garantisce che anche in caso di accesso non autorizzato al tuo dispositivo o disco, i dati rimangano solo testo cifrato, illeggibile e inutile. Ad esempio, la crittografia AES a 256 bit è uno dei tipi di crittografia più forti, imbattibili e affidabili disponibili oggi. Il bello? AxCrypt ti offre tutto questo, insieme a una sicurezza a più livelli, con funzionalità come protezione tramite password e prevenzione delle violazioni dei dati.

Che tu abbia bisogno di opzioni di condivisione file sicure per documenti come atti di proprietà, documentazione legale, materiali di ricerca o altri file sensibili, la crittografia agisce come uno scudo silenzioso ma potente, capace di proteggere la tua privacy e la tua tranquillità.

Non tutti gli attacchi passano da una falla digitale. Alcuni richiedono solo una persona ingenua all’interno del team o una voce familiare dall’altra parte della linea.

Ecco una semplice regola per individuare un attacco di vishing che può prendere il sopravvento su di te.

Hai ricevuto una chiamata a caso al lavoro? Sembrava abbastanza familiare, ma qualcosa non quadra? Basta verificare quella chiamata tramite una semplice domanda, innocua e personale di cui solo tu e l'altra persona siete a conoscenza.

Per esempio...

Truffatore che finge di essere Mr David: Ehi Jane... Ho bisogno che apriate il mio portatile e mi mandiate subito il file "ABC".

È ESATTAMENTE qui che ha luogo la violazione.

Jane, dell’ufficio contabilità, ha due possibilità: può consegnare il file all’impostore portando l’azienda al fallimento, oppure può sventare un attacco di vishing e ottenere una promozione con un significativo aumento di stipendio grazie alla prontezza dimostrata.

Jane: Certo. Lo farò. Ma senti, com'è andato il tuo appuntamento dal dentista? Hanno rimosso il dente?

Ora interverrà il malintenzionato, deciso a continuare finché non metterà le mani su ciò che cerca. Ma Jane è più astuta: riattacca immediatamente e avvisa il signor David, che si trova in vacanza con la sua famiglia a Bora Bora.

Questo è solo un esempio di come il tuo istinto, unito a un software di zero-knowledge encryption, possa proteggerti dal diventare il prossimo protagonista di un titolo su violazioni dei dati.