아이비리그 대학부터 개인 데이터까지: 학술 데이터 유출이 사상 최고치에 달했습니다!

익숙하고 설득력 있는 목소리로 전화 한 통, 내부 연락책인 척하는 악의적인 행위자, 그리고 적절한 내부자가 전화 너머에 있는 것만으로도 충분했다. 이렇게 숙련된 해커가 'Vish'를 얻은 것입니다.

새로운 사이버 범죄 비즈니스 모델인 'Vishing'을 만나보세요.

친숙한 존재를 사칭해 동정이나 두려움, 심지어 동정심을 얻어 은행 계좌 번호, OTP, 비밀번호 등 중요한 정보를 얻는 행위입니다.

해커와 공격자들은 이 설득력 있는 사기로 업그레이드되어 무기화된 설득의 한 형태를 사용하고 있습니다.

익숙함 – 방화벽, 비트락커, 백신을 쉽게 뚫고 순진한 인간의 신뢰에 깊이 발톱을 박는 심리적 허점입니다. 이것이 모든 침해, 사기, 몸값 요구의 시작입니다. 익숙함이 신뢰를 굳히고, 디지털 신뢰는 '이 사람을 안다...' 같은 의미로 이어지기 때문입니다. 그들이 원하는 것을 내가 주겠다'고 말했다.

디지털 상호작용이 익숙해질수록 의심도 덜 들고, 바로 그런 종류의 공격자들이 즐기는 것이죠.

이 글에서는 엘리트 대학이 어떻게 단순한 전화 통화 하나에 익숙한 목소리가 걸렸는지 살펴보겠습니다.

아이비 리그 대학인 이 대학에는 20,000명의 교수진과 직원, 학부 및 대학원 과정 학생 24,500명, 전 세계 400,000명의 동문이 있습니다.

하버드에서는 동문, 기부자, 학생, 교수진 기록 데이터베이스가 침해되었습니다.

이것은 한 가지 강력한 메시지를 전달합니다. 바로 이 해커들은 단순히 금융 데이터를 노리는 것이 아니라, 신원, 네트워크, 영향력, 영향력, 그리고 중요한 학생 프로필의 세부 정보를 원한다는 것입니다.

대학과 기타 교육 기관들은 개인 역사, 주요 동문 정보, 가족 네트워크에 관한 방대한 정보를 보유하고 있으며, 이는 개인적인 부분에 불과합니다.

실제 가격에 관해서는, 이 기관들은 연구 문서, 실험 결과, 연구비 기록 및 통신, 학술 아카이브, 기타 매우 기밀이 높은 내부 커뮤니케이션과 정보에 관한 정보를 담은 데이터셋의 보금광과 같습니다.

무엇이 노출되었나요?

이번 유출로 연락처, 전기 정보, 이메일 주소, 전화번호, 집 및 사업장 주소, 기타 민감한 정보가 노출되었습니다. 이 유출 내용에는 동문 배우자 정보, 재학생 및 학부모 연락처도 포함되어 있었습니다.

재무 기록, 비밀번호, 사회보장번호는 유출되지 않았으나, 기부, 기부, 모금 및 동문 참여 활동 관련 정보가 노출되었습니다.

대학의 공격에 대한 대응:

하버드는 무단 활동을 막기 위해 추가 접근을 차단하는 데 성공했으며, 추가 사건 방지를 위해 제3자 사이버 보안 파트너와 법 집행 기관에 의지하고 있습니다.

하버드는 같은 해에 두 차례 공격을 받았지만, 펜실베이니아 대학교와 프린스턴 같은 다른 아이비리그 대학들도 유사한 침해 피해를 입었습니다.

펜실베이니아 대학교 데이터 유출:

침입은 10월 30일에 발생했습니다. 위협 행위자들은 직원의 PennKey SSO 계정을 이용해 대학의 세일즈포스 인스턴스, Qlik 분석 플랫폼, SAP 비즈니스 인텔리전스 시스템, SharePoint 파일을 침해했습니다.

해커들은 SharePoint와 Box Storage 플랫폼에서 1.71GB의 내부 문서를 훔쳤으며, 여기에는 문서, 재무 정보, 동문 마케팅 자료가 포함되어 있었습니다.

디지털 강도 사건의 또 다른 주장은 기부 이력과 기타 인구통계학적 세부사항을 포함해 거의 120만 건의 개인 식별 정보 기록을 훔쳤을 수 있다는 것입니다.

해커들은 또한 Penn.edu 에서 대량 이메일을 보냈는데, 이 이메일들은 공격적인 이메일뿐 아니라 온라인 포럼에 수만 건의 대학 내부 파일을 노출시켰다.

대학의 공격에 대한 대응:

감염된 시스템은 추가 침입이나 무단 접근을 막기 위해 즉시 봉쇄되었다. 그들은 사건 조사를 위해 제3자 사이버보안 회사인 크라우드스트라이크에 의뢰했습니다. 펜은 이 사건을 FBI에 추가로 보고했으며, 오라클이 배포한 보안 패치도 적용해 취약점을 해결했습니다.

프린스턴 침입:

프린스턴 데이터베이스 침해 사건은 11월 10일에 발생했으며, 이것 역시 전화 피싱 공격이었습니다.

침입은 24시간도 채 되지 않았지만 지속적인 영향을 미쳤다. 이는 이번 유출로 인해 모금 활동과 기부금에 관한 정보가 노출되었기 때문입니다.

소식통에 따르면 이번 공격으로 약 10만 명의 개인 정보가 위험에 처했다.

다른 출처에 따르면, 그 중 한 명은 해커들이 신원 도용을 저지르고 수천 명의 개인에게 큰 피해를 입힐 만큼 충분한 정보를 수집했다고 주장합니다.

조사는 정확히 어떤 데이터가 유출되었는지 조사하는 데 몇 주가 걸릴 수 있습니다.

대학의 공격에 대한 대응:

공격은 24시간 이내에 중단되었다.

외부 사이버보안 전문가들이 배치되었고, 법과 질서 시스템에도 통보가 이루어졌다.

프린스턴은 또한 지역사회에 피싱 공격에 대한 경계를 알렸으며, 보안 프로토콜과 교육도 강화했습니다.

올해 침입은 내년의 흉내 내기 용기가 될 수 있어.

중요한 것은 그들이 가진 것이 아니라; 항상 그 모든 데이터를 가지고 무엇을 할 수 있느냐에 관한 것입니다. 그걸 이용해 내일 위험한 무언가를 만드는 거야.

도난당한 데이터는 팔리거나 몸값을 요구할 수 있으며, 이는 실제로 벌어질 수 있는 일의 표면적인 부분에 불과합니다.

해커가 교육 기관을 공격할 때, 단순히 데이터를 빼내는 것만을 목표로 하는 것이 아닙니다. 그들은 지렛대를 원합니다. 그들은 다목적 자산이기 때문에 데이터를 훔칩니다. 그 데이터는 사용될 수 있고, 판매되며, 사칭에 사용될 수 있으며, 인질로 잡히거나, 더 나쁘게는 무기화되고 자동화될 수도 있습니다.

특히 아이비리그 대학을 중심으로 한 대학들이 활용되는 학생과 교수진 데이터는 매우 가치가 높습니다. 이는 이 학생들이나 교수진이 단순한 일반인이 아니기 때문입니다. 또한 이 데이터는 높은 사회적·재정적 자본을 가진 기부자, 동문, 교수, 연구자, 기부자에 관한 정보도 포함하고 있습니다.

오늘날에는 단 한 통의 피싱 이메일이나 매력적인 정보가 담긴 이메일이 사업 계좌, 개인 계좌, 공동 계좌 등 은행 계좌 전체를 노출시킬 수 있습니다. 이 방법은 로그인 요청을 조작하거나 내일 디지털 신원을 탈취할 수도 있습니다.

바로 그 때문에 암호화가 중요합니다.

암호화 덕분에 침해가 발생하더라도 최대 파일 정도만 볼 뿐, 파일을 열어 정보를 변경할 수는 없습니다.

학술 데이터나 그 어떤 데이터도 노출되거나 유출되면, 사이버 마켓플레이스에 인질로 끌려가 판매, 복제, 복제, 복제가 무한히 이루어집니다. 즉, 유출된 데이터는 결코 완전히 사라지지 않습니다.

겉보기에는 전혀 해가 없어 보이지만, 이는 표적 사이버 범죄와 개인 괴롭힘의 먹잇감에 불과합니다. 해커들에게 진짜 재미는 단순히 원시 데이터만을 다루는 것이 아니라는 점입니다. 그들은 그 신뢰도를 가지고 장난치고 있습니다.

대학 기반 데이터 유출 사건과 관련해, 공격자들은 대학 시스템 내 신뢰받는 사람들을 사칭해 피싱 시도를 하고, 사회적으로 강화된 전술을 사용해 매우 설득력 있게 보이게 합니다.

결국 가장 큰 위험은 정보 노출이 아닙니다. 신뢰를 무기로 사용하고, 친숙함을 완벽한 허점으로 사용하며, 연결로 접근과 재정을 조작하고, 내부자가 익숙한 단순한 직업적 관계를 이용해 완전한 통제권을 잡는 것입니다.

이 모든 것이 합법적인 학문적 연관이라는 명목 아래 이루어지고 있습니다.

암호화는 더 이상 선택지가 아니며, 가끔씩 일어나는 긴급 대피 훈련도 절대 아닙니다. 심각한 침해 방지를 위해 조직 간 일상적인 관행이 되어야 합니다.

비즈니스용 암호화 든 개인용이든, 이는 여러분의 마음의 평화를 위한 투자이자 신원 보호에 완벽한 방법입니다.

암호화가 어떻게 작동하는지.

암호화가 제대로 구현된다면, 누군가가 당신의 기기나 드라이브에 접근해도 읽을 수 없고 쓸모없는 암호문만 남게 된다는 뜻입니다. 예를 들어, AES-256비트 암호화는 가장 강력하고 무적이며 신뢰할 수 있는 암호화 유형 중 하나입니다. 그리고 가장 좋은 점은? AxCrypt는 비밀번호 보호 와 데이터 유출 방지 같은 다층적인 보안과 함께 이를 제공합니다.

부동산 서류, 법률 문서, 연구 자료 및 기타 문서와 같은 문서의 안전한 파일 공유 옵션을 원하시든, 이 암호화는 조용하지만 강력한 방패로서 귀하의 프라이버시와 마음의 평화를 보호합니다.

모든 공격이 디지털 허점일 필요는 없습니다. 어떤 사람들은 팀 내에서 순진한 사람이나 전화 너머에 익숙한 목소리가 필요할 뿐입니다.

비싱 공격이 당신을 지배하지 않도록 감지하는 간단한 규칙이 있습니다.

직장에서 갑자기 전화가 왔나요? 익숙한 느낌인데, 뭔가 이상한 점이 있어요? 그 통화를 확인하는 것은, 당신과 자신만 아는 간단하고 무해하며 개인적인 질문으로 하면 됩니다.

예를 들어...

데이 비드 씨인 척하는 사칭자: 이봐, 제인... 내 노트북을 열어서 즉시 "ABC" 파일을 보내줘.

바로 여기서 침해가 벌어진다.

회계 담당자인 제인이 사칭범에게 파일을 넘겨 회사를 파산시키거나, 아니면 비싱의 공격을 막고 이 조치로 좋은 승진을 받을 수도 있습니다.

제인: 물론이죠. 그렇게 할게. 근데 치과 예약은 어땠어? 치아를 뽑았나요?

이제 사칭하는 사람은 대답할 것이고, 원하는 것을 손에 넣을 때까지 연기만 할 것이다. 하지만 제인이 더 똑똑해. 그녀는 즉시 전화를 끊고 가족과 함께 보라보라에서 휴가 중인 데이비드 씨에게 알린다.

이것은 여러분의 직감과 제로 지식 암호화 소프트웨어가 다음 침해 헤드라인이 되는 것을 막을 수 있다는 단지 한 예일 뿐입니다.