Podszywają się pod nauczycieli i wysyłają wiadomość do rodziców z taką prośbą. MEN zabrało głos

Dziwne wiadomości do rodziców od „nauczycieli”

Fala ataków, która przetoczyła się przez platformy Librus oraz Vulcan, uderzyła bezpośrednio w zaufanie na linii szkoła-dom. Oszuści, podszywający się pod kadrę pedagogiczną, rozsyłali do rodziców prośby o błyskawiczne przelewy na niewielkie kwoty. 

W jednej z opisanych przez ekspertów sytuacji rodzice zostali poproszeni o wpłatę 35 złotych na rzekome wyjście do kina. Aby uwiarygodnić przekaz, w wiadomościach zapewniano, że nie jest to pomyłka, a propozycja wyszła bezpośrednio od dyrekcji placówki.

Mechanizm ten bazuje na tzw. inżynierii społecznej (psychologicznej metodzie manipulacji), gdzie presja czasu i autorytet nauczyciela usypiają czujność ofiary. Kwota jest na tyle niska, że wielu rodziców decyduje się na natychmiastową wpłatę bez weryfikacji prośby, co w skali kraju może przynieść przestępcom ogromne zyski.

Eksperci szukają przyczyn włamania do dzienników szkolnych

W obliczu rosnącej paniki głosy zabrali przedstawiciele obu najpopularniejszych systemów e-dzienników. Zarówno Vulcan, jak i Librus kategorycznie zaprzeczyły, jakoby doszło do bezpośredniego włamania na ich serwery lub złamania zabezpieczeń systemowych. Potwierdzają to również analizy ekspertów z portalu Niebezpiecznik.pl, którzy wskazali, że wszystkie dotychczasowe incydenty opierały się na skutecznym zalogowaniu się na konkretne konta użytkowników, czyli nauczycieli.

Nie mamy więc do czynienia z wielkim wyciekiem bazy haseł z systemów centralnych, lecz z przejmowaniem pojedynczych dostępów. Jak to możliwe? Według analityków zawiniła higiena cyfrowa. Wielu pedagogów przez lata nie zmieniało swoich danych dostępowych lub stosowało to samo hasło w e-dzienniku, co na innych, mniej zabezpieczonych platformach. Jeśli dane te wyciekły wcześniej z innego serwisu, oszuści po prostu "przymierzyli" je do systemów edukacyjnych i uzyskali dostęp do panelu komunikacji z rodzicami.

Zobacz też: Straciła prawie 13 tys. zł. Nie do wiary, za kogo podawali się oszuści

Odpowiedzialność Ministerstwa Edukacji Narodowej i plany na państwowy system

Barbara Nowacka, minister edukacji, podczas konferencji prasowej studziła emocje, zaznaczając, że choć sprawa została zgłoszona odpowiednim organom, na ten moment resort nie zna wszystkich przyczyn incydentów. Ministerstwo Edukacji Narodowej dystansuje się od odpowiedzialności finansowej czy technicznej za ataki, argumentując, że obecne e-dzienniki to działalność stricte komercyjna, prowadzona przez prywatne podmioty. Przedstawiciele resortu podkreślają, że państwo nie zarządza tymi bazami danych, jednak sytuacja ta stała się katalizatorem dla nowych planów.

To jest działalność stricte komercyjna. Nie znamy przyczyn, więc nie chciałabym zbyt dużo mówić o tym, dlaczego tak się stało, co się wydarzyło, bo po prostu tego nie wiemy - tłumaczyła na konferencji prasowej Barbara Nowacka.

MEN zapowiedziało prace nad własnym, darmowym i scentralizowanym e-dziennikiem, który miałby być standardem w polskich szkołach. Ma to nie tylko odciążyć budżety samorządów, ale przede wszystkim pozwolić na wdrożenie jednolitych i wyśrubowanych norm bezpieczeństwa, takich jak obowiązkowe logowanie dwuskładnikowe (metoda uwierzytelniania wymagająca poza hasłem np. kodu SMS), które mogłoby skutecznie zablokować dostęp oszustom, nawet jeśli ci wejdą w posiadanie hasła nauczyciela.