A Universidade de Harvard sofreu um vazamento de dados no último mês após um ataque de engenharia social que comprometeu a área de desenvolvimento e ex-alunos da instituição.
De acordo com a notificação da universidade, o incidente foi ocasionado por um ataque vishing, uma variação do phishing que utiliza ligações telefônicas como vetor de ataque.
O alvo dentro da universidade era a área de Alumni Affairs e Desenvolvimento. Os cibercriminosos enganaram um membro do departamento para que ele entregasse voluntariamente suas credenciais de login, que foram usadas para obter acesso ao sistema.
Depois que as credenciais foram obtidas, o cibercriminoso acessou os sistemas internos e extraiu dados em massa sem levantar suspeitas imediatas. De acordo com as informações divulgadas pela universidade, esse acesso foi removido assim que eles tomaram conhecimento do fato.
Esse acesso não autorizado comprometeu e expôs informações pessoais de alunos, ex-alunos, doadores e funcionários, inclusive membros da família.
Embora afirmem que dados confidenciais, como senhas, números de seguro nacional ou informações financeiras, não foram comprometidos, eles detalharam que entre os dados vazados no incidente estavam:
- Endereços postais e de e-mail;
- Números de telefone;
- Registros de participação em eventos;
- Endereços pessoais e de trabalho;
- Detalhes de doações e arrecadação de fundos;
- Informações adicionais e biográficas que foram usadas para atividades especiais.
A universidade recomendou que os indivíduos potencialmente afetados desconfiem de ligações, mensagens de texto ou e-mails aparentemente vindos da instituição, especialmente aqueles que solicitam redefinição de senha ou informações confidenciais.
O que eles podem fazer com as informações roubadas?
Os dados roubados são frequentemente usados em fraudes subsequentes, permitindo ataques de phishing mais personalizados e outras formas de engenharia social. Geralmente, são vendidos em fóruns da dark web, alimentando um mercado clandestino de crimes cibernéticos em expansão, no qual credenciais roubadas representam quase dois terços das transações.
O que é vishing?
Vishing é uma variação do phishing que é realizada por telefone. Em ambos os casos, os cibercriminosos se fazem passar por alguém de confiança, empresa ou instituição conhecida para enganar o usuário e fazê-lo entregar informações confidenciais.
No caso do vishing, por ser uma ligação telefônica, é mais difícil ativar os filtros automáticos. A conscientização é um dos pilares contra esse tipo de estratégia criminosa. E, como já discutimos em artigos publicados anteriormente, a adoção de modelos Zero Trust é essencial para reduzir a probabilidade de sucesso dessas tentativas, assim como o treinamento em segurança cibernética.
Leia mais: Os cibercriminosos realmente invadem sistemas ou apenas fazem login?
Os ataques deste tipo são divididos em estágios. Como uma etapa preliminar, os cibercriminosos realizam pesquisas sobre a organização visada. Eles podem, por exemplo, usar informações públicas no LinkedIn para reunir dados sobre a pessoa que tentarão transformar em um vetor de ataque. Ao criar o perfil da pessoa visada, eles preparam o ataque para tornar o engano mais direcionado e personalizado, aumentando as chances de sucesso.
Setor educacional: um alvo favorito para o crime cibernético
De acordo com um relatório da Microsoft, o setor de educação foi o terceiro mais visado pelos cibercriminosos no segundo trimestre de 2024. Essa classificação reflete a crescente vulnerabilidade das instituições acadêmicas, que lidam com grandes volumes de dados confidenciais e geralmente têm infraestruturas tecnológicas heterogêneas e orçamentos limitados para a segurança cibernética.
Leia mais: Ciberataques ao setor de educação disparam: como responder a essa ameaça?
O fator humano precisa ser lembrado
Esse incidente mostra que a segurança não depende apenas da tecnologia, mas também do fator humano. O treinamento em engenharia social e a adoção de modelos Zero Trust são essenciais para reduzir o risco de ataques que exploram a confiança e a urgência. Em um contexto em que o setor educacional está entre os mais visados, reforçar a cultura de segurança cibernética é mais importante do que nunca.
