A Universidade de Harvard confirmou esta sexta-feira, 22 de novembro, que descobriu no passado dia 18 de novembro um sofisticado ataque de vishing que comprometeu os sistemas de Alumni Affairs and Development, marcando a segunda violação de dados da instituição em 2025.
O Ataque: Engenharia Social em Ação
Neste artigo do blog Dolutech, exploramos como uma das universidades mais prestigiadas do mundo foi infiltrada através de uma técnica de phishing telefónico que visou especificamente funcionários com acesso privilegiado aos sistemas de gestão de alumni e doadores.
O ataque, descoberto na terça-feira, 18 de novembro, resultou no acesso não autorizado a bases de dados contendo informações de alumni, doadores, alguns estudantes e professores. A universidade agiu imediatamente para remover o acesso do atacante aos sistemas e prevenir futuros acessos não autorizados.
Dados Potencialmente Expostos
A Dolutech analisou os sistemas comprometidos e os tipos de dados afetados:
Informações Comprometidas:
- Detalhes de doações realizadas à universidade
- Registos de participação em eventos institucionais
- Endereços de email e números de telefone
- Moradas residenciais e comerciais
- Informações de contacto pessoal
Dados NÃO Expostos:
- Números de Segurança Social (não são “geralmente” armazenados nestes sistemas)
- Passwords ou credenciais de acesso
- Números de contas financeiras ou cartões de crédito
O Que é Vishing e Por Que é Tão Eficaz?
Vishing, ou voice phishing, é o uso fraudulento de chamadas telefónicas e mensagens de voz utilizando técnicas de engenharia social para convencer indivíduos a revelarem informações privadas. Ao contrário do phishing tradicional por email, o vishing explora a natureza pessoal e imediata da comunicação de voz.
Técnicas Utilizadas em Ataques Vishing
Os atacantes manipulam o identificador de chamadas para fazer parecer que a chamada provém de uma fonte legítima, como um banco, repartição governamental ou empresa local. Esta técnica, conhecida como caller ID spoofing, é extremamente eficaz porque as pessoas tendem a confiar em números familiares.
Táticas Comuns de Vishing:
- Spoofing de Número: Utilização de software VoIP para falsificar identificadores de chamadas
- Engenharia Social: Exploração de emoções como medo, urgência ou confiança
- Pesquisa Prévia: Recolha de informações sobre as vítimas através de fontes abertas
- Pressão Temporal: Criação de cenários urgentes que impedem análise racional
Ataques híbridos de vishing, que combinam várias técnicas de engano, aumentaram 554% em volume, representando mais de 27% de todas as ameaças baseadas em resposta.
Harvard: Segunda Violação em 2025
Este não é o primeiro incidente de segurança que Harvard enfrenta este ano. Em outubro, a universidade investigou um ataque relacionado com a exploração da vulnerabilidade CVE-2025-61882 no Oracle E-Business Suite pelo grupo de ransomware Clop.
Naquele ataque anterior, o grupo russo Clop explorou uma vulnerabilidade crítica zero-day no Oracle E-Business Suite, conseguindo acesso não autenticado remoto às instâncias EBS. A universidade foi incluída no leak site do grupo, que alegou ter exfiltrado dados significativos.
A Ivy League Sob Cerco Cibernético
Harvard não está sozinha. Nós observamos um padrão preocupante de ataques coordenados contra instituições da Ivy League durante novembro de 2025:
Princeton University (10 de Novembro)
Princeton sofreu um ataque de vishing em 10 de novembro que comprometeu uma base de dados contendo informações de alumni, doadores, estudantes e outros membros da comunidade universitária. O ataque teve origem num esquema de phishing telefónico visando um funcionário da universidade com acesso rotineiro à base de dados de Advancement.
Os atacantes mantiveram acesso durante menos de 24 horas antes de serem detectados e removidos. Embora números de Segurança Social, passwords ou informações financeiras não tenham sido comprometidos, os atacantes acederam a nomes, endereços, números de telefone e detalhes sobre atividades de angariação de fundos.
University of Pennsylvania (31 de Outubro)
A UPenn descobriu em 31 de outubro que um grupo seleto de sistemas de informação relacionados com atividades de desenvolvimento e alumni havia sido comprometido através de uma sofisticada personificação de identidade, conhecida como engenharia social.
Os atacantes alegam ter roubado dados de aproximadamente 1,2 milhões de estudantes, alumni e doadores, incluindo nomes, datas de nascimento, moradas, números de telefone, património estimado, histórico de doações e informações demográficas. O grupo enviou emails ofensivos através de endereços oficiais @upenn.edu, comprometendo a plataforma Salesforce Marketing Cloud da universidade.
Columbia University
Durante o verão, Columbia sofreu uma violação que comprometeu informações pessoais de cerca de 870.000 indivíduos, incluindo números de Segurança Social e informações de saúde de candidatos, estudantes e outros afiliados.
Análise Técnica: Vetores de Ataque
A Dolutech identifica os principais vetores explorados nesta onda de ataques:
1. Exploração do Fator Humano
Ataques vishing quando visam empresas frequentemente envolvem atacantes fingindo ser funcionários de serviços de internet para ganhar acesso às passwords e informações dessas organizações. O elemento humano continua a ser o elo mais fraco na cadeia de segurança.
2. Acesso Privilegiado Inadequadamente Segmentado
O funcionário comprometido tinha “acesso ordinário”, mas esse acesso foi suficiente para ganhar entrada a uma base de dados contendo grandes quantidades de informações pessoais, sugerindo que os controlos de privilégio ou segmentação de rede podem não ter sido suficientemente rigorosos.
3. Monitorização Insuficiente
Embora Princeton tenha removido o atacante em menos de um dia, não conseguiram determinar exatamente quais dados foram visualizados ou exfiltrados, indicando lacunas na monitorização, logging ou auditoria de acesso a dados.
Como Mitigar Ataques de Vishing: Guia Técnico
Nós reunimos as melhores práticas para proteção contra vishing baseadas em frameworks reconhecidos:
Medidas Técnicas
1. Implementação de MFA Robusto
A autenticação multi-fator protege as contas mesmo se um atacante de vishing roubar uma password, adicionando barreiras de autenticação adicionais significativamente mais difíceis de ultrapassar.
# Exemplo de configuração de MFA com autenticação baseada em hardware
# Utilizando tokens FIDO2 para acesso a sistemas críticos
# Configuração no PAM (Pluggable Authentication Modules)
auth required pam_u2f.so cue
auth required pam_unix.so2. Segmentação de Acesso a Dados
Implementar o princípio de privilégio mínimo:
# PowerShell - Auditoria de permissões excessivas
Get-ADUser -Filter * -Properties MemberOf |
Where-Object {$_.MemberOf -like "*Domain Admins*"} |
Select-Object Name, SamAccountName, MemberOf3. Monitorização e Alertas em Tempo Real
Configurar sistemas de deteção de anomalias:
# Exemplo de deteção de padrões anómalos de acesso
import pandas as pd
from sklearn.ensemble import IsolationForest
# Monitorização de acessos a bases de dados de alumni
def detect_anomalous_access(access_logs):
features = ['hour_of_day', 'records_accessed', 'access_duration']
model = IsolationForest(contamination=0.1)
model.fit(access_logs[features])
predictions = model.predict(access_logs[features])
anomalies = access_logs[predictions == -1]
return anomaliesMedidas Organizacionais
1. Formação de Sensibilização Contínua
Programas regulares de formação e sensibilização são cruciais tanto para indivíduos como para organizações, ajudando os funcionários a reconhecer e reportar tentativas de vishing.
2. Protocolo de Verificação de Identidade
Se um chamador solicitar informações sensíveis, desligue e contacte a instituição diretamente usando um número verificado. Verifique a posição, propósito e organização do chamador para assegurar legitimidade.
3. Política de Não Divulgação Telefónica
Estabelecer como política organizacional que informações sensíveis nunca devem ser partilhadas por telefone em chamadas não iniciadas pelo funcionário.
Medidas de Deteção
Sinais de Alerta de Vishing:
- Pressão para ação imediata
- Pedidos de informação sensível por telefone
- Ameaças de consequências legais ou financeiras
- Números de telefone desconhecidos ou bloqueados
- Solicitações para confirmar credenciais ou códigos MFA
Tecnologias Emergentes: IA e Deepfakes
A tecnologia de biometria de voz utiliza características vocais únicas como tom, timbre e padrões de fala para autenticar chamadores e detetar manipulações de voz sintética, sendo especialmente crítica à medida que atacantes usam cada vez mais áudio deepfake para personificar indivíduos de confiança.
Em 2025, uma nova ameaça está emergindo com a IA generativa, permitindo aos atacantes automatizar ataques de vishing em larga escala, usando IA para imitar táticas de engenharia social humana.
Contexto Regulamentar Europeu
Para instituições educacionais europeias e portuguesas, a Dolutech destaca a importância de considerar:
- RGPD: Violações de dados pessoais requerem notificação à autoridade supervisora em 72 horas
- NIS2: Instituições educacionais podem estar sujeitas a requisitos de cibersegurança
- CNCS: Em Portugal, o Centro Nacional de Cibersegurança deve ser notificado de incidentes significativos
Conclusão: Um Novo Padrão de Ameaça
As universidades americanas encontram-se cada vez mais na mira de hackers, com as instituições da Ivy League a experienciar um aumento notável de ataques nos últimos meses.
O caso de Harvard demonstra que mesmo instituições com recursos substanciais de cibersegurança não estão imunes a ataques de engenharia social sofisticados. A combinação de técnicas tradicionais de vishing com reconhecimento prévio e exploração de confiança institucional cria um vetor de ataque particularmente eficaz.
A resposta rápida de Harvard – removendo o acesso do atacante imediatamente após descoberta e notificando os afetados dentro de quatro dias – reflete boas práticas de resposta a incidentes. No entanto, a ocorrência de dois ataques significativos no mesmo ano levanta questões sobre a necessidade de revisão profunda dos controlos de segurança, especialmente em sistemas que armazenam dados sensíveis de stakeholders.
Para organizações educacionais e empresas que gerem bases de dados de stakeholders semelhantes, os ataques à Ivy League servem como um alerta crítico: nós devemos reforçar tanto as defesas técnicas como a formação de funcionários, implementar segmentação rigorosa de acesso e estabelecer monitorização contínua de anomalias.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
