Шаги, которые нужно предпринять, когда они становятся мишенью для атаки "Evil Twin" WiFi?

1971
Dragonturtle

Я хотел бы попросить о помощи, возможно, о том, что делать, когда на меня нападает «злой близнец».

Мой вопрос связан с этим: SSID с очень похожим именем, это попытка взлома? Но я совершенно уверен, что в моем случае это атака, и мне скорее нужны контрмеры, а не просто убедиться в том, что это атака.

Я также хотел бы отметить, что я не профессионал в области безопасности / сетей, хотя я студент-разработчик программного обеспечения. Я просто заметил, что происходит, потому что я часто читаю статьи на различные интересные ИТ-темы.

История:

Около месяца назад я заметил сеть WiFi с тем же именем, что и у меня (Paternoszter), которая появилась в моем списке WiFi на ноутбуке, когда я дома. Это открытая сеть, в отличие от моей, которая защищена паролем (только).

В течение первых нескольких дней я уделял мало внимания, кроме того, чтобы убедиться, что я подключаюсь к своей собственной сети, но затем моя сеть начала «отключаться» и подключаться к «поддельной», это когда я выключал свой WiFi и также мой роутер .

В этот момент я сообщил об инциденте властям, заполнил формы, отправил скриншоты и все, что они просили. Я получил обещание, что «они посмотрят на это». Я использовал свой компьютер только в локальной сети в течение недели после этого, но повторяющаяся сеть все еще сохраняется. (Он есть даже тогда, когда я отключаю маршрутизатор от электричества)

Прошел месяц, ничего не изменилось, но я слишком боюсь пользоваться собственной WiFi-сетью. Это раздражает, потому что у меня нет опыта работы с такими вещами, я использовал 3 учебника только для того, чтобы выполнить настройки роутера. Я не знаю, что я мог сделать.

Есть ли какие-нибудь дальнейшие шаги, которые предпринимают такие начинающие, как я? Я надеялся, что они уже сдадутся.

ОБНОВЛЕНИЕ (2017.06.20.) : Через три дня после этого поста «близнец» исчез, но поскольку я понятия не имел, почему, я еще ничего не опубликовал. Оказалось, что власти это изучили, но мне сказали, что они ничего не могут мне сказать во время расследования. Хочу поблагодарить за все комментарии, это помогло мне успокоить нервы!

3
Какую ОС вы используете? Помогает ли изменение имени? (особенно тот, который трудно напечатать) Предоставляет ли поддельная сеть какой-либо доступ в Интернет? grawity 6 лет назад 0
Win10, я пытался поменять "Paternoszter" на "Paternoszter2", в первые 3 дня, но подделка была изменена в течение нескольких часов, поэтому я изменил ее обратно. (подделка тоже изменилась) Я боялся даже позволить своему компьютеру подключиться к поддельному доступу, поэтому я не знаю, предоставляет ли он интернет или нет. Dragonturtle 6 лет назад 1
Не пользуйтесь WiFi. Вы не можете ничего сделать, поэтому просто не пользуйтесь WiFi. Найти злого близнеца и закрыть его было бы решением. Seth 6 лет назад 0
* моя сеть начала "отключаться" и подключаться к "поддельной" * Это вызывает беспокойство. Ваш компьютер не должен подключаться к открытой сети, если вы не попросили об этом. Что это за операционная система? David Schwartz 6 лет назад 0

7 ответов на вопрос

3
gregg

В вашем комментарии говорилось, что когда вы меняли свой SSID, а затем возвращали его обратно, сеть «злых близнецов» делала то же самое. В сочетании с тем фактом, что вы признаете, что не очень хорошо разбираетесь в работе с сетями, я полагаю, что это может быть гостевой SSID или другой SSID для другой частоты (2,4 ГГц против 5 ГГц), как подробно описано в вашем связанном вопросе . Ищите Guest или 5GHz в настройках вашего роутера для подтверждения. Если вы не можете понять, не стесняйтесь опубликовать свою модель маршрутизатора, и, возможно, один из нас может

По поводу дублированного идентификатора SSID пользователь отметил, что «Он есть даже тогда, когда я отключаю маршрутизатор от электричества». Если это правда, это не гостевой или альтернативный SSID, который транслируется с маршрутизатора пользователя. Это может быть ошибка пользователя при определении того, какие SSID передаются в эфир. Sherlock Bytes 6 лет назад 3
3
Baldrickk

Это больше относится к тому, чтобы выяснить, что происходит, а не к прямому исправлению.

Возьмите свой смартфон, зайдите в релевантный магазин приложений и загрузите одно из приложений для анализа Wi-Fi.

Выключите свой Wi-Fi или весь роутер

Используйте показание сигнала от анализатора Wi-Fi, чтобы определить, откуда передается проблемный ssid. Этот ответчик обнаружил, что его «дублированный SSID» транслировался с локального устройства, которое он смог найти. Даже если вы не можете получить доступ к где устройство находится, вы должны быть в состоянии сузить это положение вниз достаточно хорошо, чтобы легко сказать, кто это делает, т.е. какой сосед.

Я собирался предложить то же самое Magnus 6 лет назад 0
0
pythonian

Лучший способ защититься от атаки «злого близнеца» - настроить новый SSID и отключить широковещательную рассылку. Когда вы отключите широковещательную рассылку на своем SSID, вы больше не увидите его в списках сетей вашего ПК / MAC WiFi. Вам нужно будет ввести его физически вместе с парольной фразой WPA2-PSK. Таким образом, никто не увидит ваш SSID. При настройке нового SSID попробуйте когда-нибудь полностью отличаться от "Paternoszter" или "Paternoszter2" или "Paternoszter3". Сделайте это новым именем SSID. Надеюсь это поможет.

У этого метода есть серьезная обратная сторона. Вместо того, чтобы ваше устройство огляделось, увидело «Дэйва» и подключилось к нему, вместо этого оно будет постоянно кричать: «Эй, Дейв, ты здесь?» Tetsujin 6 лет назад 1
Они называются пробными запросами и кодируются в драйвере беспроводного устройства для отправки через определенные промежутки времени. Он не будет «постоянно кричать», если устройство не находится на границе беспроводной границы. То, как это работает, состоит в том, что запросы зонда будут увеличиваться по частоте, поскольку сигнал Wi-Fi становится слабее. Это происходит так, что другая точка доступа в области может ответить зондированием, и у устройства есть возможность роуминга к новой точке доступа и не потерять связь. Надеюсь, это поможет @Tetsujin pythonian 6 лет назад 0
И этот SSID можно прослушать из любого места, где устройство его не видит, потому что оно кричит: «Дейв, где ты?» по таймеру. Tetsujin 6 лет назад 1
Вы правы - несмотря на то, что в SSID IE будет пустое поле SSID, анализатор может перехватить направленный запрос на проверку, который включает SSID, который ищет станция. Точно так же ответ зондирования от AP будет включать SSID. Я думаю, ему придется купить AP с поддержкой 802.11w. Шифрование пакетов управления. pythonian 6 лет назад 2
0
jvb

Хотя это, вероятно, законно, чтобы соответствовать SSID, это кажется довольно рискованным для меня. Если кто-то решит предоставить сеть «открытого злого близнеца», это может иметь неприятные последствия как минимум двумя способами:

  1. другие могли бы просто использовать его (с сильной криптографией) и исчерпать ежемесячное ограничение квоты / скорости запуска данных,

  2. неизвестные пользователи могут использовать его для незаконных действий (обмен файлами, отправка писем с шантажом и т. д.), которые можно отследить до оператора «злой близнец».

Имея это в виду, вы можете просто поставить знаки «бесплатный WLAN», чтобы привлечь других (анонимных) пользователей. Это может заставить оператора мошеннической точки доступа подумать дважды :)

0
HackSlash

Обнаружение устройства-нарушителя - это то, что вы должны делать. Я бы также использовал анализатор Wi-Fi, как предложил Балдрикк.

Если это что-то, что пугает вас до такой степени, что вы не хотите использовать Wi-Fi, то вещь №2, которую вам нужно сделать, это защитить себя от будущих атак.

Технология WIPS \ WIDS является достаточно новой, поэтому вам может быть сложно настроить ее вручную и дорого купить коммерческое решение.

Больше информации о беспроводных системах предотвращения вторжений:

https://en.wikipedia.org/wiki/Wireless_intrusion_prevention_system

Мне известно о недорогом домашнем решении, но, к сожалению, его еще нет. Он называется FingBox, и у него есть множество функций, которые дают вам контроль и информацию о вашей беспроводной сети. Он также может обнаруживать некоторые атаки, такие как Evil Twin и de-auth.

https://www.fing.io/home-network-security-device/#

Если вы хотите попробовать свои силы в развертывании собственной системы, вот решение с открытым исходным кодом:

http://openwips-ng.org/

Даже если бы у вас была система WIDS, способная обнаруживать злого близнеца, вам все равно нужно было бы отследить устройство физически и противостоять владельцу. Хорошей новостью является то, что это, вероятно, в нескольких минутах ходьбы.

0
cybernard

http://www.ebay.com/itm/Faraday-Cage-ESD-EMP-7-0MIL-Thick-Material-5-Yards-X-36-Survivalists-Preppers-/141855276714?_trksid=p2385738.m2548.l4275

Выше некоторый защитный материал. Это довольно дорого, и это блокирует сотовый телефон и т. Д. Прием.

Если вы найдете приблизительное местоположение и временно разместите его на стенах, все внешние сигналы будут заблокированы.

Ваш собственный сигнал Wi-Fi находится внутри, поэтому он не будет затронут.

-1
Nick Dewitte

Наиболее вероятная атака (а я не знаю технических подробностей, я вроде как хакерство) имеет отношение к устройствам, автоматически отправляющим пароли при попытке подключения.
Лучший способ проверить, успешно ли они работают, - это получить MAC-адреса всех ваших устройств и отслеживать подключенные mac-адреса. Если вы подозреваете, что существуют несанкционированные устройства, есть решение, но оно имеет недостаток.

Вы можете использовать фильтрацию MAC-адресов. Адрес Mac - это уникальный адрес для каждого сетевого устройства. Вы можете создать список в маршрутизаторе для внесения в белый список определенных mac-адресов.

Недостатком является то, что вы должны добавить каждый адрес вручную. Если много разовых пользователей, возможно, это того не стоит.

Еще одна вещь, которую вы можете сделать, - занести в черный список устройства, которые вы уже нашли в своей сети. Это менее эффективно, потому что довольно легко изменить ваш mac адрес, но это становится намного сложнее, если вам нужно сопоставить определенный список из 20 адресов.

Чувак ... Это действительно плохой совет. В каждой версии backtrack и Kali Linux вы можете произвольно генерировать mac-адрес. Или клонировать устройства Mac. Вы должны удалить этот ответ. Tim_Stewart 6 лет назад 0

Похожие вопросы