Van Ivy League-universiteiten tot persoonlijke gegevens: datalekken in het onderwijs bereiken een recordhoogte!

Het kostte niets meer dan een telefoontje met een bekende en overtuigende stem, een kwaadaardige actor die zich voordeed als een interne contactpersoon, en precies de juiste insider aan de andere kant van de lijn. Zo kreeg een bekwame hacker hun ‘Vish’.

Maak kennis met het gloednieuwe cybercriminele bedrijfsmodel: ‘Vishing’.

Het zich voordoen als een vertrouwde entiteit om medelijden, angst of zelfs sympathie op te wekken en zo cruciale informatie te verkrijgen, zoals bankrekeningnummers, eenmalige codes (OTP’s), wachtwoorden en meer.

Hackers en aanvallers stappen over op deze overtuigende vorm van oplichting als een vorm van bewapende manipulatie.

Vertrouwdheid – een psychologisch achterdeurtje dat moeiteloos door firewalls, BitLocker, antivirussen snijdt en zijn klauwen diep in het naïeve menselijke vertrouwen slaat. Dit is het begin van alle datalekken, scams en gijzelsoftware-aanvallen. Omdat vertrouwdheid vertrouwen verankert, en digitaal vertrouwen zich vertaalt naar iets als: ‘Ik ken deze persoon… laat ik geven waar zij om vragen’.

Hoe meer uw digitale interacties vertrouwd worden, hoe minder u zich verdacht voelt, en dat is precies het soort lekkernijen waar deze aanvallers zich op tegoed doen.

In dit artikel duiken we in hoe een elite-universiteit het slachtoffer werd van iets zo eenvoudigs als een telefoontje met een vertrouwde stem aan de andere kant van de lijn.

De Ivy League-universiteit herbergt 20.000 faculteitsleden en medewerkers, 24.500 studenten in zowel bachelor- als masterprogramma's, en 400.000 alumni over de hele wereld.

Bij Harvard werden databases met alumni-, donateurs-, studenten- en faculteitsgegevens gehackt.

Dit schreeuwt één duidelijke boodschap, en dat is: deze hackers proberen niet alleen toegang te krijgen tot financiële gegevens, maar ze willen identiteiten, netwerken, invloed, hefboomkracht en details van belangrijke studentenprofielen.

Universiteiten en andere vormen van onderwijsinstellingen bevatten een schat aan informatie als het gaat om persoonlijke geschiedenissen, details van bekende alumni en familienetwerken, en dat is slechts het persoonlijke gedeelte ervan.

Wat de werkelijke waarde betreft, deze instellingen zijn een goudmijn van datasets met informatie over onderzoeksdocumenten, experimentele uitkomsten, subsidierapporten en communicatie, academische archieven, en andere zeer vertrouwelijke interne communicatie en informatie.

Het datalek maakte contactgegevens, biografische gegevens, e-mailadressen, telefoonnummers, woon- en zakelijke adressen en andere gevoelige informatie openbaar. Het datalek bevatte ook gegevens van de echtgenoten van alumni en contactgegevens van huidige studenten en hun ouders.

Financiële gegevens, wachtwoorden en BSN zijn niet gelekt, maar informatie over donaties, geschenken en gegevens met betrekking tot fondsenwerving en activiteiten voor alumni-betrokkenheid werden blootgesteld.

Harvard slaagde erin verdere toegang te blokkeren om ongeautoriseerde activiteiten te voorkomen en heeft een externe cybersecuritypartner en de wetshandhaving ingeschakeld om toekomstige incidenten te voorkomen.

Hoewel Harvard in hetzelfde jaar twee keer werd aangevallen, kregen ook andere Ivy League-universiteiten, zoals de University of Pennsylvania en Princeton, te maken met soortgelijke datalekken.

Het datalek bij de University of Pennsylvania:

De reactie van de universiteit op de aanval:

De geïnfecteerde systemen werden snel afgesloten om verdere indringing of ongeautoriseerde toegang te stoppen. Ze wendden zich tot een externe cybersecurityfirma, CrowdStrike, om het incident te onderzoeken. Penn heeft dit incident verder gemeld bij de FBI en heeft nu ook de nodige beveiligingspatches geïmplementeerd die door Oracle zijn uitgegeven om de geëxploiteerde kwetsbaarheden op te lossen.

De Princeton-inbreuk:

De reactie van de universiteit op de aanval:

Nou, het datalek van dit jaar kan de impersonator van volgend jaar zijn.

Het gaat nooit om wat ze bezitten; het gaat altijd om wat ze met al die data kunnen doen. Het draait om hoe ze die gebruiken om morgen iets gevaarlijks op te bouwen.

Gestolen gegevens kunnen worden verkocht of tegen losgeld worden vastgehouden, en dat is nog maar een oppervlakkige indruk van wat zich daadwerkelijk kan ontvouwen.

Wanneer een hacker een onderwijsinstelling aanvalt, is het niet alleen om gegevens weg te sluizen. Ze zijn uit op machtsmiddelen. Ze stelen data omdat het een veelzijdig inzetbaar bezit is. Die gegevens kunnen worden gebruikt, verkocht, ingezet voor impersonatie, als losgeld worden vastgehouden of, nog erger, worden bewapend en geautomatiseerd.

Met universiteiten als doelwit, en in het bijzonder Ivy League-universiteiten, zijn de uitgebuite studenten- en faculteitsgegevens van hoge waarde. Dat komt doordat deze studenten en medewerkers geen gewone individuen zijn. De data bevat ook informatie over donateurs, alumni, professoren en onderzoekers, mensen met een groot sociaal en financieel kapitaal.

Vandaag kan één enkele phishingmail, of een e-mail met verleidelijke informatie, uw volledige bankrekening blootstellen, of het nu gaat om een zakelijke, persoonlijke of gezamenlijke rekening. Dit kan zelfs uw inlogverzoek manipuleren of morgen leiden tot het kapen van digitale identiteiten.

En dat is precies waarom versleuteling belangrijk is.

Met versleuteling, zelfs als een inbreuk plaatsvindt, zien ze hooguit uw bestanden, maar ze kunnen ze nooit openen of de informatie wijzigen.

Zodra academische data of eender welke data wordt blootgesteld of gecompromitteerd, wordt het vervolgens gegijzeld op cybermarktplaatsen waar het wordt verkocht, gekopieerd, vermenigvuldigd en eindeloos gedupliceerd. Dit betekent dat gelekte data nooit echt verdwenen is.

Hoewel het absoluut onschuldig lijkt, is dit gewoon kanonnenvoer voor gerichte cybercriminaliteit en gepersonaliseerde intimidatie. Het echte plezier voor hackers is dat het niet alleen ruwe data is waar ze mee spelen. Ze spelen met de geloofwaardigheid die eraan verbonden is.

Bij datalekken op universiteiten doen aanvallers zich voor als vertrouwde personen in het systeem van de universiteit om phishingpogingen te doen en gebruiken ze sociaal verrijkte tactieken om uiterst overtuigend over te komen.

Hierdoor is uiteindelijk het grootste risico niet de blootstelling van informatie. Het is het gebruik van vertrouwen als een wapen, vertrouwdheid als een perfect achterdeurtje, het gebruik van verbindingen om toegang en financiën te manipuleren, en het gebruik van een eenvoudige professionele relatie die vertrouwd is voor een insider om volledige controle over te nemen.

Dit alles en meer onder het mom van een legitieme academische verbinding.

Versleuteling is niet langer een optie, en het is zeker geen oefening die af en toe plaatsvindt. Het moet een dagelijkse praktijk zijn binnen organisaties om ernstige inbreuken te voorkomen.

Of het nu versleuteling voor bedrijven is of gewoon voor persoonlijk gebruik, het is een investering in uw gemoedsrust en een perfecte bescherming voor uw identiteit.

Versleuteling, wanneer correct toegepast, betekent in feite dat zelfs als iemand toegang krijgt tot uw apparaat of schijf, ze niets anders dan onleesbare en nutteloze ciphertext zullen aantreffen. Bijvoorbeeld, de AES-256-bitversleuteling is een van de sterkste, onverslaanbare en vertrouwde soorten versleuteling die beschikbaar zijn. En het beste van alles? AxCrypt biedt u dit, samen met gelaagde beveiliging zoals wachtwoordbeveiliging en preventie van datalekken.

Of u nu opties voor veilig delen van bestanden wilt voor documenten zoals uw eigendomsbewijzen, juridische documenten, onderzoeksmateriaal en andere bestanden, deze versleuteling is een stille maar krachtige bescherming van uw privacy en gemoedsrust.

Niet alle aanvallen vereisen een digitaal lek. Soms is alleen een goedgelovig teamlid of een vertrouwde stem aan de andere kant van de lijn voldoende.

Hier is een eenvoudige regel om een vishing-aanval te herkennen voordat deze u kan overnemen.

Kreeg u een onverwacht telefoontje op het werk? Het klinkt bekend, maar er lijkt iets niet te kloppen? Verifieer het gesprek dan met een eenvoudige, onschuldige en persoonlijke vraag die alleen u en de persoon die wordt geïmpersonificeerd kennen.

Bijvoorbeeld...

Impersonator die zich voordoet als meneer David: Hé Jane… ik heb u nodig om mijn laptop te openen en mij onmiddellijk het bestand “ABC” te sturen.

Dit is EXACT waar de inbreuk zich ontvouwt.

Of Jane, van de boekhouding, kan de oplichter het bestand geven en het bedrijf failliet laten gaan, OF ze kan een Vishing-aanval voorkomen en gepromoveerd worden met een flinke salarisverhoging voor deze zet die ze heeft gemaakt.

Jane: Natuurlijk. Dat doe ik. Maar hé, hoe ging je tandartsafspraak? Hebben ze de tand verwijderd?

Nu zal de oplichter antwoorden, gewoon om mee te spelen totdat ze in bezit krijgen van wat ze zoeken. Maar Jane is slimmer. Ze legt meteen neer en informeert meneer David, die met zijn familie op vakantie is in Bora Bora.

Dit is slechts een voorbeeld van hoe uw instincten, samen met zero-knowledge versleuteling software, u kunnen redden van het volgende datalek in de krantenkoppen.