{"id":19524,"date":"2019-06-25T09:45:35","date_gmt":"2019-06-25T07:45:35","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=19524"},"modified":"2019-11-22T12:03:53","modified_gmt":"2019-11-22T10:03:53","slug":"school-hacking","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/school-hacking\/19524\/","title":{"rendered":"Akademische Zertifikate aus dem Dark Web"},"content":{"rendered":"

Die Klausuren verlaufen nicht ganz nach Plan? Das kann jedem passieren! Die meisten Betroffenen w\u00fcrden sich nach einem solchen Niederschlag wieder aufrappeln, die Pr\u00fcfungen wiederholen oder vielleicht sogar ihre angestrebten Ziele \u00e4ndern. In einigen F\u00e4llen k\u00f6nnten Sch\u00fcler und Studenten jedoch in die Versuchung kommen, ihrem Weg zum Erfolg auf betr\u00fcgerische Art und Weise auf die Spr\u00fcnge zu helfen.<\/p>\n

Im Laufe der Jahre ist rund um diese Versuchung eine Art Untergrundbranche entstanden, die, angefangen von Diskussionsforen und How-to-Videos zum Hacken eines Schulsystems bis hin zu gef\u00e4lschten Zertifikaten und Diplomen, die dann auf dem Schwarzmarkt zum Verkauf angeboten werden, so gut wie keine W\u00fcnsche offen l\u00e4sst. Wir haben beschlossen, dieses Thema genauer unter die Lupe zu nehmen und herauszufinden, was genau Schulen und Universit\u00e4ten tun k\u00f6nnen, um sich und ihre Sch\u00fcler bzw. Studenten zu sch\u00fctzen.<\/p>\n

Zugriff auf Noten<\/h2>\n

Viele Schulen haben in den letzten Jahren webbasierte Informationsplattformen f\u00fcr Schulaktivit\u00e4ten, Hausaufgaben, Evaluierungen, Eltern- und Lehrerkommunikation usw. eingef\u00fchrt. Ein Gro\u00dfteil dieser Plattformen ist \u00f6ffentlich zug\u00e4nglich, und viele von ihnen, darunter einige der am h\u00e4ufigsten genutzten, wiesen in der Vergangenheit bereits bekannte Schwachstellen auf.<\/p>\n

Eine der beliebtesten Informationsplattformen f\u00fcr Schulen ist PowerSchool. Es ist bekannt, dass PowerSchool von einer Sicherheitsanf\u00e4lligkeit betroffen war (CVE-2007-1044<\/a>), die es einem Angreifer erm\u00f6glichen w\u00fcrde, den Inhalt des Admin-Ordners \u00fcber eine speziell erstellte URL aufzulisten. Die Auswirkungen dieser Sicherheitsl\u00fccken h\u00e4ngen von den Einstellungen des Webservers und dem Inhalt des Ordners ab.<\/p>\n

Bekannte Schwachstellen und Exploits wie diese erm\u00f6glichen es einem Angreifer allerdings nicht, die Authentifizierung zu umgehen oder Berechtigungen zu erweitern, um auf die Art von Informationen zuzugreifen, nach denen Noten-Hacker vermutlich suchen w\u00fcrden. Hier gibt es einen deutlich einfacheren Weg zum Ziel: Login-Daten.<\/p>\n

So ist das PowerSchool-Gateway, wie das vieler anderer Plattformen, lediglich durch Benutzernamen und Kennw\u00f6rter gesch\u00fctzt.<\/p>\n

\"Login-Seiten<\/p>\n

Im M\u00e4rz<\/a> 2019 sollen sich Sch\u00fcler Zugang zu PowerSchool verschafft haben, um ihre Noten zu \u00e4ndern und ihre Fehlstunden zu reduzieren. Da viele Nutzer ihre Anmeldedaten auf unterschiedlichen Websites wiederverwenden, ist es sehr wahrscheinlich, dass derartie Portale mithilfe gestohlener oder wiederverwendeter Login-Daten gehackt werden. Der Zugriff auf diese Accounts kann sich durch verschiedene Methoden verschafft werden \u2013 von der einfachen Kopie der Sticky-Notes-Notiz eines Lehrers bis zum Hacking<\/a> und Credential Harvesting<\/a><\/em> (Phishen von Passw\u00f6rtern) innerhalb des Schul- oder Hochschulnetzwerks. Alternativ k\u00f6nnen Sch\u00fcler und Studierende einen Underground-Hacker beauftragen, der diese Aufgabe f\u00fcr sie \u00fcbernimmt.<\/p>\n

Hacking-Dienste bieten gef\u00e4lschte Diplome auf Schwarzm\u00e4rkten an<\/h3>\n

Eine Online-Suche am 12. Juni f\u00fchrte uns im Handumdrehen zu einem Online-Angebot f\u00fcr Hacking-Dienste und sehr authentisch aussehenden Fake-Zertifikaten, -Diplomen und -Abschl\u00fcssen f\u00fcr ein beliebiges Fach oder eine Institution Ihrer Wahl. Der Prozess ist klar und simpel: Mit einem Bestellformular und den notwendingen Kontaktinformationen hat man sein Ziel so gut wie erreicht.<\/p>\n

\"Ein<\/p>\n

Mehr Sicherheit im Schulwesen<\/h3>\n

Was k\u00f6nnen Schulen, Hochschulen, Universit\u00e4ten und sogar Arbeitgeber, die um Nachweise f\u00fcr akademische Leistungen bitten, tun, um sicherzustellen, dass das, was ihnen vorgelegt wird, auch tats\u00e4chlich authentisch ist?<\/p>\n

Wenn es um Zertifikate und Diplome geht, sollten Organisationen die Authentizit\u00e4t der Dokumente bei der ausstellenden Institution \u00fcberpr\u00fcfen lassen. Wenn es keinen Eintrag dar\u00fcber gibt, dass der fragliche Student oder Sch\u00fcler diese Qualifikation auch tats\u00e4cjlich erhalten hat, haben Sie es wahrscheinlich mit einer F\u00e4lschung zu tun.<\/p>\n

Im Fall von webbasierten Informationssystemen k\u00f6nnen einige wesentliche Ma\u00dfnahmen einen gro\u00dfen Beitrag zur Sicherheit von Mitarbeitern, Studenten und auch Informationen leisten:<\/p>\n