Od uniwersytetów Ivy League po dane osobowe: Wycieki danych akademickich osiągają rekordowy poziom!

Wystarczył tylko telefon z dobrze znanym i przekonującym głosem, złośliwy aktor podszywający się pod wewnętrzny kontakt i po prostu odpowiedni insider po drugiej stronie linii. Tak właśnie doświadczony haker zdobył swój 'Vish'.

Poznaj zupełnie nowy model biznesowy cyberprzestępców, "Vishing".

Akt podszywania się pod znaną istotę, by wzbudzić litość, strach, a nawet współczucie, by zdobyć kluczowe informacje, takie jak numery kont bankowych, OTP, hasła i inne.

Hakerzy i atakujący przechodzą na ten przekonujący przekręt jako formę uzbrojonej perswazji.

Znajomość – psychologiczna luka, która łatwo przebija się przez zapory sieciowe, BitLocker, antywirusy i wbija się głęboko w naiwne zaufanie ludzi. To początek wszelkich naruszeń, oszustw i ataków okupu. Bo znajomość cementuje zaufanie, a zaufanie cyfrowe przekłada się na coś w stylu: 'Znam tę osobę... pozwól mi dać im to, o co proszą'.

Im bardziej znajome stają się twoje cyfrowe interakcje, tym mniej podejrzliwy się stajesz, a właśnie na takich przysmakach ucztują ci napastnicy.

W tym artykule przyjrzymy się, jak elitarny uniwersytet padł ofiarą czegoś tak prostego jak rozmowa telefoniczna z dobrze znanym głosem po drugiej stronie linii.

Uniwersytet IVY League zatrudnia 20 000 wykładowców i pracowników, 24 500 studentów zarówno na studiach licencjackich, jak i magisterskich oraz 400 000 absolwentów na całym świecie.

W przypadku Harvardu doszło do naruszenia danych absolwentów, darczyńców, studentów i wykładowców.

To krzyczy jeden głośny przekaz – ci hakerzy nie tylko próbują dotrzeć do danych finansowych, ale chcą także tożsamości, sieci, wpływów, dźwigni i szczegółów ważnych profili studentów.

Uniwersytety i inne formy instytucji edukacyjnych mają bogactwo informacji o osobistych historiach, szczegółach znanych absolwentów i sieciach rodzinnych, i to jest tylko ta osobista część.

Jeśli chodzi o rzeczywistą cenę, instytucje te są kopalnią danych zawierających informacje o dokumentach badawczych, wynikach eksperymentów, dokumentacji grantowej i komunikacji, archiwach akademickich oraz innych ściśle poufnych wewnętrznych komunikacjach i informacjach.

Co zostało ujawnione?

Wyciek ujawnił dane kontaktowe, dane biograficzne, adresy e-mail, numery telefonów, adresy domowe i firmowe oraz inne wrażliwe informacje. Wyciek zawierał także dane małżonków absolwentów, dane kontaktowe obecnych studentów i rodziców.

Nie wyciekły dokumenty finansowe, hasła ani numery SSN, ale ujawniono informacje o darowiznach, darowiznach, informacje związane z pozyskiwaniem funduszy i działaniami angażującymi absolwentów.

Reakcja Uniwersytetu na atak:

Harvard zdołał zablokować dalszy dostęp, aby zapobiec wszelkim nieautoryzowanym działaniom, i zwrócił się do zewnętrznego partnera ds. cyberbezpieczeństwa oraz organów ścigania, aby zapobiec dalszym incydentom.

Podczas gdy Harvard został zaatakowany dwukrotnie w tym samym roku, inne uniwersytety Ivy League, takie jak University of Pennsylvania i Princeton, również doświadczyły podobnych naruszeń.

Wyciek danych Uniwersytetu Pensylwanii:

Do przełamania doszło 30 października. Agenci zagrożeń wykorzystali konto SSO PennKey pracownika, aby włamać się do instancji Salesforce uniwersytetu, platformy analitycznej Qlik, systemów business intelligence SAP oraz plików SharePoint.

Hakerzy ukradli 1,71 GB wewnętrznych dokumentów z platform SharePoint i Box Storage, które zawierały dokumenty, informacje finansowe oraz materiały marketingowe dla absolwentów.

Innym zarzutem w cyfrowym napadzie jest to, że mogli ukraść prawie 1,2 miliona rekordów danych osobowych, w tym historię darowizn i inne dane demograficzne.

Hakerzy rozesłali też masowe e-maile od Penn.edu, które nie tylko obejmowały obraźliwe e-maile, ale także ujawniały dziesiątki tysięcy wewnętrznych plików uczelni na forach internetowych.

Reakcja Uniwersytetu na atak:

Zainfekowane systemy zostały natychmiast zablokowane, aby zapobiec dalszym włamaniom lub jakimkolwiek nieautoryzowanym dostępom. Zwrócili się do zewnętrznej firmy zajmującej się cyberbezpieczeństwem, CrowdStrike, aby zbadać ten incydent. Penn dodatkowo zgłosił ten incydent FBI i wdrożył teraz niezbędne poprawki bezpieczeństwa wydane przez Oracle w celu usunięcia wykorzystywanych luk.

Wyłam Princeton:

Naruszenie bazy danych Princeton miało miejsce 10 listopada i był to również atak phishingowy telefoniczny.

Chociaż naruszenie trwało mniej niż 24 godziny, miało trwały wpływ. Stało się tak, ponieważ naruszenie ujawniło informacje o działaniach fundraisingowych i darowiznach.

Źródła podają, że atak zagroził niemal 100 000 osobowym informacjom osobowym.

Według innych źródeł, jedno z nich twierdzi, że hakerzy zdobyli wystarczająco dużo informacji, by dokonać kradzieży tożsamości i siać spustoszenie wśród tysięcy osób.

Śledztwo może zająć kilka tygodni, aby dokładnie sprawdzić, jakie dane zostały naruszone.

Reakcja Uniwersytetu na atak:

Atak został przerwany w ciągu 24 godzin.

Wysłano zewnętrzny zespół ekspertów ds. cyberbezpieczeństwa, a systemy prawa i porządku zostały również powiadomione.

Princeton poinformowało również społeczność o czujności wobec ataków phishingowych, co również wzmocniło ich protokoły bezpieczeństwa i szkolenia.

Cóż, tegoroczny wyciek może być przyszłorocznym podszywaniem.

Nigdy nie chodzi o to, co posiadają; Zawsze chodzi o to, co mogliby zrobić z tymi wszystkimi danymi. Chodzi o to, jak wykorzystają to, by jutro zbudować coś niebezpiecznego.

Skradzione dane można sprzedać lub przechować jako okup, a to tylko powierzchowne zapytanie tego, co faktycznie może się wydarzyć.

Gdy haker atakuje instytucję edukacyjną, nie chodzi mu tylko o wyciąganie danych. Chcą mieć przewagę. Kradną dane, ponieważ są one wielofunkcyjnym zasobem. Te dane mogą być wykorzystywane, sprzedawane, wykorzystywane do podszywania się, przetrzymywane jako okup lub, co gorsza, uzbrojone i zautomatyzowane.

Mając na uwadze uniwersytety, zwłaszcza te z Ivy League, wykorzystywane dane o studentach i wykładowcach mają ogromną wartość. A to dlatego, że ci studenci lub wykładowcy nie są zwykłymi ludźmi. Dane zawierają także informacje o darczyńcach, absolwentach, profesorach, badaczach i darczyńcach, którzy dysponują dużym kapitałem społecznym i finansowym.

Dziś pojedynczy phishingowy e-mail lub e-mail zawierający instruujące informacje może ujawnić całe Twoje konto bankowe, czy to firmowe, prywatne czy wspólne. Może to nawet zmanipulować Twoje żądanie logowania lub jutro przejąć cyfrowe tożsamości.

I właśnie dlatego szyfrowanie jest ważne.

W przypadku szyfrowania, nawet jeśli dojdzie do naruszenia, w najlepszym wypadku widzą tylko twoje pliki, ale nigdy nie mogą ich otworzyć i zmienić informacji.

Gdy dane akademickie lub jakiekolwiek inne zostaną ujawnione lub naruszone, są one następnie przejęte przez cyberrynki, gdzie są sprzedawane, kopiowane, mnożone lub powielane w nieskończoność. Oznacza to, że wyciekły dane nigdy tak naprawdę nie znikają.

Choć wydaje się to absolutnie nieszkodliwe, to tylko mięso armatnie dla celowanych cyberprzestępstw i spersonalizowanego nękania. Prawdziwą frajdą dla hakerów jest to, że nie tylko z surowymi danymi pracują. Igrają się z wiarygodnością, która się z tym wiązała.

W przypadku wycieków danych na uczelni, atakujący podszywają się pod zaufane osoby w systemie uczelni, by podejmować próby phishingu i stosować społecznie wzbogacone taktyki, by wyglądać bardzo przekonująco.

W efekcie największym ryzykiem nie jest ujawnienie informacji. To wykorzystywanie zaufania jako broni, znajomości jako idealnej luki prawnej, wykorzystywanie kontaktów do manipulowania dostępem, finansami oraz wykorzystanie prostej relacji zawodowej, znanej insiderowi, by przejąć pełną kontrolę.

Wszystko to i jeszcze więcej pod pozorem prawdziwego związku naukowego.

Szyfrowanie nie jest już opcją i zdecydowanie nie jest to ćwiczenie alarmowe, które zdarza się od czasu do czasu. Powinno to być codzienną praktyką w organizacjach, aby zapobiec poważnym naruszeniom.

Niezależnie od tego, czy chodzi o szyfrowanie biznesowe , czy po prostu do użytku osobistego, jest to inwestycja w Twój spokój ducha i idealna ochrona Twojej tożsamości.

Jak działa szyfrowanie.

Szyfrowanie, jeśli zostanie odpowiednio zaimplementowane, oznacza w zasadzie, że nawet jeśli ktoś dostanie się do twojego urządzenia lub dysku, zostanie mu tylko nieczytelny i bezużyteczny szyfrogram. Na przykład szyfrowanie AES-256-bitowe jest jednym z najsilniejszych, niepokonanych i najbardziej zaufanych typów szyfrowania . A najlepsze w tym? AxCrypt oferuje to, a także wielowarstwowe zabezpieczenia, takie jak ochrona haseł i zapobieganie wyciekom danych.

Niezależnie od tego, czy chcesz bezpiecznego udostępniania plików dla dokumentów takich jak dokumenty własnościowe, dokumenty prawne, materiały badawcze i inne dokumenty, to szyfrowanie jest cichym, ale głośnym osłoną chroniącą Twoją prywatność i spokój ducha.

Nie wszystkie ataki muszą być cyfrową luką. Niektórzy potrzebują po prostu łatwowiernej osoby w drużynie lub znajomego głosu po drugiej stronie linii.

Oto prosta zasada, jak wyłapać atak Vishing, który nie może cię przejąć.

Dostałaś przypadkowy telefon w pracy? Brzmi znajomo, ale coś jest nie tak? Po prostu potwierdz tę rozmowę prostym, nieszkodliwym i osobistym pytaniem, które znacie tylko Ty i druga osoba, pod którą się podszywamy.

Na przykład...

Imitator podszywający się pod pana Davida: Hej Jane... Potrzebuję, żebyś natychmiast otworzył mój laptop i wysłał mi plik "ABC".

To DOKŁADNIE tutaj rozgrywa się wyciek.

Albo Jane z kont może przekazać podszywaczowi się pod akta i doprowadzić firmę do bankructwa, ALBO może zapobiec atakowi Vishinga i awansować z naprawdę dobrą podwyżką za ten ruch, który wykonała.

Jane: Pewnie. Zrobię to. Ale hej, jak poszła wizyta u dentysty? Czy usunęli ząb?

Teraz podszywający się pod niego odpowiada, żeby udawać, aż zdobędzie to, czego szuka. Ale Jane jest mądrzejsza. Natychmiast się rozłącza i informuje pana Davida, który przebywa na wakacjach w Bora Bora z rodziną.

To tylko przykład, jak twoje instynkty, wraz z oprogramowaniem do szyfrowania bez wiedzy , mogą uchronić cię przed byciem kolejnym nagłówkiem o wyłamaniu.