Epidemi "ghost-student" atau mahasiswa hantu yang telah menyerang sistem community college di California sekarang menyebar ke seluruh negara. Kampus-kampus di Arizona, Indiana, Oregon, New Jersey, dan Michigan sedang berusaha mempertahankan diri dari penipu yang menggunakan AI untuk mendaftarkan mahasiswa palsu bersamaan dengan mahasiswa asli yang kembali ke sekolah.
"Ghost student" adalah identitas yang dipalsukan atau dicuri yang digunakan oleh penipu untuk membanjiri portal pendaftaran kampus dengan ribuan aplikasi dalam beberapa menit—biasanya saat liburan atau akhir pekan saat staf penerimaan mahasiswa sedikit. Jika berhasil, mereka akan mendaftarkan mahasiswa palsu ini ke kelas dan mengajukan bantuan keuangan, seringkali merebut kursi dari mahasiswa asli. Mereka bahkan menggunakan AI untuk mengerjakan tugas agar tidak dikeluarkan dari kelas. Terkadang, yang mereka dapatkan hanya alamat email kampus. Tapi bahkan itu berharga, kata pakar keamanan, karena memberi mereka kedok sebagai mahasiswa. Email .edu memungkinkan diskon untuk laptop, software, dan yang penting, untuk menipu saat melamar kerja.
Departemen Pendidikan meluncurkan program nasional bulan Juni untuk memberantas pencurian identitas di kampus dan meminta langkah verifikasi identitas baru untuk tahun ajaran Musim Gugur 2025. Mereka menemukan $90 juta telah diberikan ke mahasiswa yang tidak memenuhi syarat, termasuk $30 juta untuk identitas orang yang sudah meninggal.
Kiran Kodithala, pendiri firma tech N2N Services dan platform LightLeap.AI yang digunakan kampus-kampus untuk melawan mahasiswa hantu, berkata persentase mahasiswa palsu di community college California adalah sekitar 26% dari 1,2 juta aplikasi di 75 kampus. Di luar California, sistem LightLeap menemukan sekitar satu dari lima aplikasi adalah mahasiswa hantu. Angka penipuan ini berlaku untuk 24 kampus di luar California dengan sekitar 340.000 aplikasi yang diproses musim panas ini.
Di Oregon, pejabat di Lane Community College bersiap untuk serbuan mahasiswa hantu pada musim gugur 2025, kata Dawn Whiting, dekan asosiasi manajemen pendaftaran. Kampus itu pertama kali diserang pada musim gugur 2022 setelah mereka meluncurkan proses aplikasi baru yang lebih sederhana. Saat itu, sekitar 1.000 aplikasi masuk dalam waktu singkat, sangat tidak biasa untuk kampus dengan 5.000 mahasiswa.
Whiting dan timnya melihat tanda-tanda penipuan—kode area, alamat email, dan nomor telepon yang mirip di ratusan aplikasi. Whiting menonaktifkan sekitar 1.000 alamat email dan meminta langkah verifikasi identitas tambahan. Tapi para penipu berubah taktik. Pada musim panas 2023, mereka mulai memenuhi kursi di kelas yang tidak memerlukan prasyarat. Kampus itu akhirnya menerapkan deposit aplikasi sebesar $25, meskipun hal itu bertentangan dengan keyakinan mereka untuk menjadi sumber daya komunitas yang tanpa hambatan.
Tapi para penipu berubah lagi. Musim panas 2024, sekitar 300 aplikasi masuk bersamaan, kata Whiting, dan sekolah menghapus semuanya dari kelas. Sekarang, Lane mempertimbangkan untuk menyewa firma AI pihak ketiga untuk memperkuat pertahanan. Staf mereka waspada terhadap penipuan tapi bukan ahli cybersecurity, catat Whiting. Staf penerimaan dan fakultas lebih fokus pada mendidik mahasiswa dan memasukkannya ke kelas yang tepat untuk karir mereka.
"Kami adalah akses terbuka," kata Colman Joyce, wakil presiden layanan mahasiswa di Lane. "Meminta mahasiswa melalui lebih banyak langkah untuk mendaftar menambah hambatan dan kami adalah community college. Banyak mahasiswa kami tidak melek teknologi ketika datang ke sini."
Di California, community college diwajibkan menerima semua mahasiswa yang memenuhi syarat dan tidak ada biaya aplikasi. Kodithala mengatakan ada perdebatan apakah kampus di negara bagian lain akan mengalami serangan yang sama seperti California, terutama jika ada lebih banyak rintangan dalam mendaftar, seperti deposit atau biaya. Sejauh ini, serangan terjadi baik ada biaya maupun tidak, katanya. Di sekolah di luar California, tingkat aplikasi palsunya sekitar 8% hingga 15%.
Craig Munson, pejabat keamanan informasi utama di Minnesota State yang mengawasi 26 community dan technical college serta 7 universitas, mengatakan negara bagian itu menggunakan AI dan bermitra dengan sekolah lain dan konsorsium keamanan untuk menemukan taktik baru yang digunakan mahasiswa hantu untuk menyusup ke sistem sekolah.
"Sama seperti kami memanfaatkan AI untuk melindungi diri, para penyerang juga terus memanfaatkannya dengan cara-cara baru dan menarik," kata Munson. "Ini seperti perlombaan senjata. Setiap enam bulan, para penyerang cenderung berhenti dari satu cara dan beralih ke taktik yang berbeda."
Munson dan lainnya menolak berkomentar tentang tanda penipuan spesifik yang mereka lihat musim gugur ini, tetapi taktik mahasiswa palsu beberapa tahun lalu—yang sudah tidak berhasil lagi—melibatkan nama yang dibuat-buat, alamat email acak yang terlihat mirip, serta alamat dan nomor telepon yang sama yang digunakan berulang kali. Para penyerang sejak itu telah berganti cara.
Bagi sekolah, masalah ini sangat rumit. Community college dimaksudkan untuk menjadi institusi pendidikan yang terbuka, terjangkau bagi mereka yang ingin mendapatkan gelar associate, berganti karir, atau mengejar passion. Saat California bergulat dengan kumpulan mahasiswa hantu, pejabat telah memperdebatkan pemberlakuan biaya nominal untuk menambah kesulitan dalam sistem pendaftaran.
Sistem Minnesota mencakup tiga universitas yang mengenakan biaya aplikasi kecil, empat yang tidak, serta tujuh college dengan biaya dan 19 yang gratis. Namun, Kodithala mencatat bahwa menambahkan biaya aplikasi mengunduh penipuan kartu kredit dan kartu hadiah. Munson mengatakan dia melihat masalah yang sama di Minnesota. Itu juga menawarkan rasa aman yang palsu jika sekolah percaya seorang penipu tidak akan membayar $15 atau $25 untuk kesempatan mendapatkan ribuan dolar dengan mudah, kata Kodithala.
"Itu justru mempermudah mereka mencuri karena mereka tahu yang harus dilakukan hanya melakukan pembayaran," kata Kodithala.
Travis Blume, wakil presiden urusan mahasiswa dan pendaftaran di Bay de Noc Community College, Michigan, mengatakan sekolahnya belum melihat kumpulan besar mahasiswa hantu seperti sekolah lain di Michigan, tapi dia siap jika itu terjadi. Dan karena sekolahnya hanya memiliki sekitar 2.000 mahasiswa di dua lokasinya, staf telah menerapkan proses tinjauan aplikasi secara manual, katanya. Setiap aplikasi yang mencurigakan diperiksa lagi dan calon mahasiswa diminta untuk mengonfirmasi identitas mereka melalui notaris atau kunjungan langsung.
Sebagai pemimpin di institusi pendidikan komunitas, Blume bergumul dengan masalah yang sama tentang menambah lebih banyak hambatan dalam sistem yang seharusnya seakses mungkin. "Community college adalah tentang membuat orang masuk dan mendidik mereka," katanya.
Meskipun begitu, meskipun kerentanan institusi komunitas terhadap skema penipuan berbantuan AI, para ahli sedang bekerja untuk melindungi bantuan keuangan yang tersedia untuk mahasiswa.
"Penipuan di pendidikan tinggi adalah sesuatu yang harus dilihat dengan serius dan harus menjadi bagian dari perhitungan risiko keseluruhan," kata Munson dari Minnesota. "Penting untuk memiliki hubungan yang kuat dengan penegak hukum lokal dan federal serta dengan kelompok berbagi informasi sehingga Anda bisa mendapatkan intelijen ancaman yang tepat dan fleksibel dalam tanggapan Anda. Saat para penyerang berubah, kita perlu berubah bersama mereka."