Rủi ro bảo mật trong lĩnh vực giáo dục đang gia tăng khi dữ liệu sinh viên bị khai thác cho phishing, social engineering và gian lận tài chính. Các chiến dịch này không còn là thư rác ngẫu nhiên mà đã chuyển sang mô hình nhắm mục tiêu dựa trên dữ liệu cá nhân đã bị thu thập từ nhiều nguồn khác nhau.
Rủi ro bảo mật từ dữ liệu sinh viên
Quá trình chuyển đổi số trong giáo dục mang lại sự tiện lợi, nhưng cũng mở rộng bề mặt tấn công. Trường đại học, trung tâm luyện thi, nền tảng học bổng và nhà cung cấp EdTech hiện lưu trữ khối lượng lớn thông tin nhạy cảm của sinh viên.
Dữ liệu thường bao gồm họ tên, số điện thoại, email, mã định danh và đôi khi cả thông tin ngân hàng. Khi dữ liệu này bị phân tán trên nhiều nền tảng với mức giám sát an ninh hạn chế, kẻ tấn công có thể lợi dụng các điểm yếu để xây dựng chiến dịch lừa đảo có độ tin cậy cao.
Chuỗi tấn công thường gặp
Báo cáo từ CYFIRMA mô tả một chuỗi khai thác điển hình trong hệ sinh thái giáo dục. Chuỗi này bắt đầu từ việc thu thập dữ liệu qua cổng thông tin lộ diện, truy cập nội bộ, website giả mạo hoặc sự cố từ bên thứ ba. Để tham khảo thêm phân tích gốc, có thể xem báo cáo tại CYFIRMA Research.
Sau khi tạo danh sách mục tiêu, kẻ tấn công gửi email, SMS, WhatsApp hoặc gọi điện với nội dung giả mạo thông báo từ trường học hay cơ quan liên quan. Các thông điệp này thường được cá nhân hóa bằng dữ liệu thật để tăng mức độ thuyết phục.
Giai đoạn tiếp theo là khai thác: nạn nhân bị dụ bấm vào liên kết giả, cung cấp OTP, tải tài liệu lên hoặc cài ứng dụng truy cập từ xa. Mục tiêu cuối cùng là chiếm đoạt tài khoản, thu tiền giả, hoặc bán dữ liệu đã thu thập trên các diễn đàn tội phạm.
Rủi ro bảo mật từ dữ liệu bị rò rỉ
Nghiên cứu ghi nhận dữ liệu bị rao bán trên các diễn đàn cybercrime với quy mô lớn. Các tập dữ liệu được nhắc tới gồm hơn 12 triệu bản ghi từ một nền tảng tìm kiếm trường học, khoảng 682.000 bản ghi từ một nhà cung cấp dịch vụ giáo dục và hơn 46.000 bản ghi gắn với một trường đại học lớn.
Các bộ dữ liệu này được mô tả là chứa ngày sinh, thông tin nhập học, lịch sử thanh toán, thông tin phụ huynh, thậm chí cả ảnh hồ sơ và chữ ký. Dù không phải mọi dữ liệu rò rỉ đều được xác thực, khối lượng thông tin được giao dịch vẫn tạo ra nguy cơ bảo mật trực tiếp cho sinh viên và gia đình.
Khi có ngay cả những thông tin cơ bản, kẻ tấn công có thể dựng lên các kịch bản lừa đảo rất giống thật, nhất là với các mốc nhạy cảm như kết quả nhập học, học bổng hoặc lời mời thực tập.
Các trường hợp lạm dụng dữ liệu
CYFIRMA mô tả nhiều tình huống thực tế cho thấy tác động của dữ liệu bị lộ. Một sinh viên kỹ thuật bị nghi ngờ liên quan đến việc tài khoản ngân hàng bị dùng để luân chuyển gần Rs 7 crore trong hai ngày theo mô hình cybercrime mule network.
Một cố vấn học thuật cũ bị xử lý vì sử dụng hồ sơ sinh viên cũ để mạo danh nhân viên và thu bất hợp pháp hơn Rs 48.000. Ngoài ra, một website đại học sao chép đã được phát hiện thu phí sinh viên và thu thập dữ liệu cá nhân trong khi hiển thị nội dung học thuật có vẻ hợp lệ.
Hoạt động trên dark web cho thấy một hệ sinh thái tội phạm ngày càng chuyên nghiệp xoay quanh dữ liệu sinh viên. Các tác nhân đe dọa không chỉ bán dữ liệu thô mà còn đóng gói thành bộ thông tin có cấu trúc để phục vụ phishing, identity theft, gian lận học thuật và vận hành tài khoản trung gian.
Những gói dữ liệu này có thể bao gồm đăng ký nhập học, đặt lịch thi, thông tin phụ huynh và dữ liệu thanh toán. Đây là nền tảng để tạo ra các email và tin nhắn giả mạo có độ tin cậy cao hơn nhiều so với các mẫu lừa đảo thông thường.
Đối với môi trường này, rủi ro bảo mật không chỉ nằm ở thất thoát dữ liệu. Nó còn bao gồm việc bị chiếm quyền tài khoản, gian lận phí, và tái sử dụng danh tính cho các chiến dịch lừa đảo tiếp theo.
Biện pháp giảm thiểu rủi ro bảo mật
CYFIRMA khuyến nghị áp dụng kiểm soát truy cập chặt chẽ cho cơ sở dữ liệu sinh viên và hệ thống thanh toán, kết hợp đánh giá an ninh định kỳ. Việc rà soát nhà cung cấp bên thứ ba cần được thực hiện cùng với cơ chế giám sát để phát hiện domain sao chép và cổng thông tin lừa đảo.
Yêu cầu multi-factor authentication cho toàn bộ tài khoản nhân viên và sinh viên là biện pháp quan trọng để giảm khả năng chiếm quyền truy cập. Đồng thời, các chương trình nâng cao nhận thức cần bao gồm phishing, giả mạo học bổng và yêu cầu thanh toán bất thường.
Phối hợp giữa cơ sở giáo dục, ngân hàng và lực lượng xử lý sự cố là cần thiết để tăng tốc phát hiện gian lận và phản ứng khi có dấu hiệu lạm dụng dữ liệu.
Danh sách kiểm soát kỹ thuật
- Kiểm soát truy cập theo nguyên tắc tối thiểu cho dữ liệu sinh viên.
- Đánh giá an ninh định kỳ cho cổng nhập học, thanh toán và hệ thống lưu trữ.
- Giám sát domain giả mạo và website clone.
- Multi-factor authentication cho nhân viên và sinh viên.
- Kiểm tra nhà cung cấp bên thứ ba và các tích hợp có quyền truy cập dữ liệu.
- Đào tạo nhận diện phishing cho các yêu cầu học bổng, phí và xác minh danh tính.
Tham chiếu threat intelligence
Với các chiến dịch nhắm vào dữ liệu sinh viên, việc đối chiếu thông tin từ nguồn uy tín là cần thiết cho hoạt động threat intelligence và phát hiện xâm nhập. Các cơ quan tham chiếu như CISA và cơ sở dữ liệu NVD là nguồn phù hợp để tra cứu chỉ báo và thực hành phòng thủ liên quan đến tin tức bảo mật và rủi ro bảo mật trong môi trường giáo dục.
