O mercado paralelo de certificados acadêmicos

17 jul 2019

As avaliações de conclusão de curso não foram como o planejado? Isso pode acontecer com qualquer um. Muitos daqueles que tiveram notas baixas tentarão refazê-las, ou mudarão sua meta. Mas, em alguns casos, os alunos podem optar pela trapaça para alcançar bons resultados.

Ao longo dos anos, surgiu uma indústria clandestina que explora usuários com esse tipo de oportunismo, contando com fóruns de discussão e vídeos tutoriais sobre como hackear o sistema de uma escola para falsificar certificados e diplomas para vender no mercado paralelo. Por isso, decidimos investigar e ver o que as escolas e universidades podem fazer para protegerem a si e seus alunos dos cibercriminosos.
Como os estudantes usam diplomas da dark web e notas hackeadas para burlar o sistema e alcançar excelência acadêmica

Acessando as notas

Muitas escolas introduziram plataformas de informação online para atividades escolares, trabalhos de casa, avaliações, comunicação entre pais e professores, etc. Algumas funções estão abertas para a Internet e muitos desses sistemas, incluindo alguns dos mais usados, são frequentemente vulneráveis ​​a ataques cibernéticos.

Uma das plataformas de informação para as escolas mais populares é a PowerSchool, conhecida por ter uma vulnerabilidade (CVE-2007-1044) que possibilitaria que um cibercriminosos listasse o conteúdo do administrador da pasta mediante a um URL manipulado. O impacto dessa vulnerabilidade depende das configurações do servidor web e das pastas que ele possui.

No entanto, as vulnerabilidades e exploits como esta não permite que o cibercriminoso ignore os privilégios de administrador ou de autenticação para acessar essas informações como as notas dos alunos. Para isso, há uma maneira mais fácil de se proteger: use as credenciais da conta.

O gateway do PowerSchool, como o de muitas outras plataformas, é protegido apenas por usuário e senha.
Páginas de acesso do sistema online PowerSchoolEm março de 2019, alguns estudantes foram acusados ​​de hackear o PowerSchool, com intuito de mudar suas notas e melhorar seus registros de presença. E como os usuários usam os mesmos acessos em sites diferentes, é muito provável que esses portais estejam sendo invadidos por meio de informações roubadas ou reutilizadas. Estas contas podem ser obtidas por métodos diferentes, desde um lembrete no teclado do professor teclado com os dados, a um hacker de verdade ou credenciais compiladas da rede da faculdade ou universidade. Outro caminho que os alunos com esses objetivos podem optar, é contratar um hacker para cuidar do serviço sujo.

A invasão de serviços e falsificação de diplomas no mercado clandestino

Uma pesquisa online realizada em 12 de junho nos direcionou a uma oferta para hackear serviços e obter certificados, diplomas e notas falsas de diferentes instituições que parecem autênticos. O processo é claro e simples: tem um formulário de solicitação e informações de contato.
Mercado clandestino que vende online certificados e diplomas de diferentes instituições

Melhorar a segurança na educação

Então, o que escolas, universidades e empresas que procuram novos talentos com notas impecáveis ​​podem fazer para ter certeza de que o que estão vendo é real?

Quando se trata de certificados e diplomas, as organizações devem verificar sua autenticidade com a instituição que o emitiu. Se não houver registro de que o aluno obteve uma qualificação, é provável que seja falso.

No caso de sistemas de informação baseados na web, uma série de medidas de segurança online básicas seria suficiente proteger funcionários, alunos e dados:

  • Implemente algum tipo de autenticação de dois fatores sempre que possível, especialmente para acessar registros, anotações e avaliações dos alunos. Estabeleça controles de acesso fortes e apropriados para que não seja tão fácil para um hacker se mover pelo sistema.
  • No campus, tenha duas redes Wi-Fi separadas e protegidas, uma para a equipe e outra para os alunos. Seria uma boa ideia ter uma terceira rede isolada para visitantes.
  • Introduza e reforçe as política de senhas da equipe e incentive todos a manter a confidencialidade de suas credenciais de acesso em todos os momentos.
  • Use uma solução de segurança confiável para ter proteção total contra uma ampla gama de ameaças e ciberataques.