Czym jest atak typu evil twin?
Ataki typu evil twin są rodzajem ataku typu Man in the Middle (MitM), w którym fałszywa sieć Wi-Fi jest konfigurowana w celu kradzieży informacji lub dalszej infiltracji łączącego się urządzenia.
Często odbywa się to w miejscach publicznych, gdzie ludzie najprawdopodobniej szukają lub łączą się z ogólnodostępną siecią Wi-Fi. Mogą to być lotniska, kawiarnie, duże parki publiczne itp., ale hakerzy mogą naprawdę wykorzystać ten atak w dowolnym miejscu, głównie dlatego, że fałszywe Wi-Fi można łatwo skonfigurować i wdrożyć. Jeśli atak się powiedzie, haker zasadniczo przechwyci Twoje połączenie internetowe. Może to oznaczać, że haker może wykraść dane logowania.
Jak działa atak typu evil twin?
Niestety, atak typu evil twin jest stosunkowo łatwy do skonfigurowania i trudny do wykrycia ze względu na charakter sposobu, w jaki urządzenia łączą się z Wi-Fi.
Krok pierwszy: Konfiguracja złego bliźniaka Wi-Fi
Po pierwsze, haker umieszcza się w doskonałej lokalizacji, w której ludzie chcą łączyć się z bezpłatnymi sieciami Wi-Fi.
Korzystając z urządzenia takiego jak hotspot lub Wi-Fi Pineapple, może skonfigurować własną sieć Wi-Fi. Korzystając z narzędzia takiego jak hostapd-wpe, mogą podszyć się pod dowolną sieć, a przy wystarczającej ilości czasu, nawet uzyskać poświadczenia sieciowe.
Aby podszyć się pod istniejące połączenie, prawdopodobnie użyją tego samego SSID (nazwy sieci), co ta, która już istnieje. W zależności od tego, jak bardzo są wyrafinowani, mogą nawet replikować adres MAC.
Obecnie urządzenia często prezentują tylko identyfikator SSID, gdy chcesz się połączyć, więc trudno byłoby odróżnić prawdziwe urządzenie od oszusta bez szukania konkretnych szczegółów, które mogą oznaczać atak.
Krok drugi: Konfiguracja portalu
Captive Portal to zazwyczaj oddzielna strona internetowa lub początkowe wyskakujące okienko ukazujace się po podłączeniu do sieci Wi-Fi. Najczęściej prosi o podanie pewnych szczegółów przed zezwoleniem na dostęp do Internetu.
Hakerzy mogą skonfigurować własny captive portal, aby rozpocząć kradzież poufnych informacji, dzięki czemu mogą połączyć się z początkową siecią Wi-Fi i dalej reprezentować, że połączenie Wi-Fi jest poprawne.
Jak wykryć Wi-Fi typu evil twin?
Z założenia połączenia Wi-Fi typu evil twin są dość trudne do zidentyfikowania bez specjalnych narzędzi do sniffingu. Istnieje jednak kilka najlepszych praktyk, które pomogą ci trzymać się z dala od podejrzanych połączeń.
- Zwracaj uwagę na nazwy sieci Wi-Fi: Nie wszyscy hakerzy są bystrzy, a niektórzy są na tyle leniwi, by konfigurować fałszywe połączenia Wi-Fi z błędnie wpisanymi słowami, więc szukaj wszelkich oczywistych błędów jako oznak ataku.
- Nie ignoruj alertów: Jeśli urządzenie ostrzega, że połączenie Wi-Fi jest niezabezpieczone, bądź certyfikat nie jest zgodny, uważaj!
Jak zapobiec problemom związanym z atakami evil twin?
Zapobieganie tego typu atakom jest znacznie skuteczniejsze niż samo ich wykrywanie. Kroków, które mogą pomóc:
- Korzystaj z VPN: VPN zostały stworzone, aby uniemożliwić hakerom (i każdemu innemu) monitorowanie Twojej aktywności online. Jest to dobre narzędzie do zachowania prywatności i bezpieczeństwa, nawet jeśli łączysz się ze złym bliźniakiem Wi-Fi.
- Przeglądaj tylko witryny HTTPS: Większość przeglądarek oferuje to domyślnie, ponieważ połączenia HTTPS są szyfrowane, aby uniemożliwić podglądanie aktywności użytkownika. Jeśli przeglądarka zauważy, że odwiedzana witryna nie ma połączenia HTTPS, należy jak najszybciej ją opuścić.
