Boas, isso é muito fácil de fazer, basta usar o SET (Social Engineer Toolkit) e um plugin do ettercap, DNS spoofing.
O backtrack já tem tudo isto instalado e pronto a funcionar.
Para não ser apanhado nisto basta usar https:// em vez de Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Para descobrir basta encontrar o endereço interno do "hacker" e descobrir o endereço de mac, depois basta comparar o endereço de mac com aquele que você suspeita.
A comparação do endereço de mac pode nao dar em nada visto que o "hacker" pode usar o macchanger, e trocar o seu endereço..

outra coisa, caso o https não funcione(visto que ele pode usar também outro programa ssl strip) pode usar um proxy chamado Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... pois possui uma encriptação de dados, o que evita que o "hacker" roube cookies(e sim a invasão também pode acontecer através de cookies),

Totalmente não de acordo com vc, SSL é tão seguro quanto o usuario que usa ele e o mais provavel que se ele estiver fazendo isso que vc disse, ele esteja spoofando a rede com arpspoof msm, é o mais fácil e menos complicado, agora se tratando do facebook, o que eu aconselho é rodar um wireshark por exemplo e ver se realmente tem alguem spoofando a rede e eu garanto pra vc 100% de ctz que é arpspoof e tem scripts que te da a senha na tela, apenas setando ele por padrão, sendo site SSL ou não agora se seria ético eu falar ql script que é, isso não seria, pois não é necessario e n é o foco do problema.. Rode Wireshark e começe por ai e só com ajuda da escola no caso, vc poderia chegar a quem fez isso.

O que eu faria no caso?? Wireshark, Broadcast ARP em sequencia, faria uma varredura na escola, botando funcionarios mesmo p/ varrer a escola e olhar na tela de qm estiver com not, percebeu algo de diferente com a pessoa, q ela tenha ficado nervosa, levante os dados daquele cara, qual é o perfil dele? ql curso ele faz? Vai filtrando e ve se volta acontecer, da proxima ja vai direto no cara, se tem camera pela redondeza melhor ainda.. espero que tenha me intendido.

axei excelente a pergunta, e gostaria de acrescentar

tendo acesso computador utilizado pelo atacante é fácil D+ obter as provas nescessárias, porém... isto só é possível por meio judicial, entao... gostaria de acrescentar a dúvida:
como obter as provas nescessárias sem comprometer o sistema e q nao deixe rastros provando q foi por meios ilegais?


OBS: já pensou em chantagem? obtenha por meio virtual, algo dele, uma acc por exemplo, ou um arquivo dele enfim... segue o tema, e chantageie para q o mesmo devolva as contas e pare com o ataque.

Existem muitos programas que fazem esse "trabalho" eu apenas referi esse porque seria o método que utilizaria para capturar essas senhas. o ssl protege contra este método que referi antes.
E verdade que estamos a divagar em relação a técnica, o "hacker" ate pode estar a usar um exploit pack e consegue ter acesso ao browser da vítima, ou ate pode ter posto um keylogger numa maquina da escola..
"Procurar na escola por pessoas suspeitas ?" lol. eu posso ter o meu notebook fechado dentro da mala, e mesmo assim esta a fazer spoof .. o cara ate pode estar a usar um smartphone...
a meu ver só ele souber o que faz e tiver experiência dificilmente ele é apanhado .