Gemelo malvado

Un ataque gemelo malvado es un tipo de phishing utilizado en redes informáticas inalámbricas . [1] El atacante crea una copia de un punto de acceso inalámbrico ubicado dentro del radio de recepción del usuario, reemplazando así el punto de acceso original con un gemelo al que se conecta el usuario, abriendo al atacante la oportunidad de acceder a información confidencial . [2]

Prevalencia

Debido a la baja densidad de redes inalámbricas en Rusia en comparación con Europa, este ataque no ocurre con tanta frecuencia como en Europa y América. Tampoco hay estadísticas sobre este tipo de ataques porque es extremadamente difícil de detectar, y mucho menos registrar el hecho del robo de información. Sin embargo, las redes inalámbricas están ganando cada vez más popularidad, por lo que la amenaza de este tipo de ataques pronto puede volverse bastante real. En particular, el ataque del "gemelo malvado" es aplicable a las redes inalámbricas abiertas, porque el atacante no necesita entrar primero en la red protegida para obtener la contraseña. [3]

Equipamiento

Cualquier persona con los conocimientos suficientes y el equipo adecuado, como una computadora portátil con un adaptador de red Wi-Fi que admita el modo de punto de acceso, puede implementar un ataque de "gemelo malvado" . Con el desarrollo actual de la tecnología, muchos adaptadores inalámbricos admiten este modo. [3]

Descripción del ataque

El primer paso es realizar un reconocimiento por radio del lugar donde se pretende instalar un punto gemelo inalámbrico. Como resultado de este reconocimiento, el atacante recibirá información sobre todas las redes Wi-Fi disponibles , su SSID y tipo de encriptación . También recibirá información sobre clientes inalámbricos activos en forma de direcciones MAC tanto de clientes como de puntos de acceso (BSSID).
Además, el atacante puede usar el SSID y BSSID del punto de acceso seleccionado para el ataque obtenido en la etapa de análisis para crear su propio clon de este punto [2] . Un punto de acceso "malvado" puede ubicarse físicamente más cerca de la víctima y estar a una distancia suficiente, en cuyo caso el atacante puede usar antenas direccionales para amplificar la señal en el área de recepción de la víctima.
Cuando se instala un punto gemelo y la potencia de transmisión/recepción del gemelo en el área de recepción del cliente excede la potencia del punto de acceso copiado, es muy probable que el atacado se conecte al clon y no al acceso original. punto. [cuatro]
Una vez que el cliente se conecta al punto de acceso del atacante, es posible no solo guardar todo el tráfico de la red con el fin de analizarlo más a fondo, sino también cambiar las páginas de inicio de sesión de sitios populares como google.com y vk.com sin que el usuario se dé cuenta. . Al mismo tiempo, la persona atacada ingresa sus datos personales en dicho formulario y termina con el atacante. Después de eso, el ataque se puede considerar completado y el atacante simplemente puede apagar su punto, ocultando así el hecho de su presencia. [5]

Defensa

Atención. A menudo es posible detectar la sustitución de páginas de inicio de sesión debido a una copia del original insuficientemente precisa por parte del atacante. Debe prestar atención a las pequeñas cosas, como las animaciones en la página, la presencia de todas las imágenes en la página, la correspondencia de las versiones de la página, por ejemplo, para dispositivos móviles o no.
Utilice una red privada virtual cuando se conecte a redes inalámbricas abiertas. En este caso, el tráfico de red en el camino desde el cliente hasta el servidor VPN está encriptado. El atacante no podrá obtener información sobre las acciones del cliente desde el canal de comunicación y reemplazar los sitios originales con contrapartes de phishing. [6]
Esté atento a los mensajes del navegador sobre violaciones de cifrado o certificados de seguridad inapropiados . Al intentar falsificar un sitio que utiliza encriptación a nivel de protocolo del canal de comunicación ( protocolos SSL / TLS / HTTPS ), el navegador puede generar un error.

Notas

↑ Preguntas frecuentes .
↑ 12 Smith , 2007 .
↑ 12 WiFi , 2008 .
↑ Dinosaurio, 2005 .
↑ Prudnikov, 2012 .
↑ Kirk, 2007 .

Literatura

Kirk, Jeremy. Proliferan los puntos de acceso 'Evil Twin' // Servicio de noticias IDG. — 2007.
http://www.wi-fi.org . Preguntas frecuentes sobre Evil Twins (inglés) (enlace no disponible) . http://www.wi-fi.org.+ Archivado el 25 de enero de 2013.
Smith, Andrew D. Extraños puntos de Wi-Fi pueden albergar piratas informáticos: los ladrones de identidad pueden acechar detrás de un punto de acceso con un nombre amigable // The Dallas Morning News, Knight Ridder Tribune Business News. - 2007. Archivado el 26 de abril de 2015.
Wi-Fi: una amenaza oculta. // http://nuevostiempos.ru . - 2008. - Edición. 10 _
Dino A. Dai Zovi, Shane A. Macaulay. Atacando la selección automática de red inalámbrica. // http://nuevostiempos.ru . — 2005.
Arseni Prudnikov. Una amenaza invisible para la salud, la vida y el dinero. // http://gazeta.ru . — 2012.