Злой двойник

Атака «злой двойник» (англ. Evil twin) — разновидность фишинга, применяемая в беспроводных компьютерных сетях.^[1] Атакующий создает копию беспроводной точки доступа, находящейся в радиусе приема пользователя, тем самым подменяет оригинальную точку доступа двойником, к которому подключается пользователь, открывая злоумышленнику возможность доступа к конфиденциальной информации.^[2]

Распространенность

В связи с не большой, в сравнении с Европой, плотностью беспроводных сетей в России, данная атака не встречается так часто, как на территории Европы и Америки. Статистика по такому роду атак отсутствует еще и потому, что обнаружить, а тем более запротоколировать, факт хищения информации крайне сложно. Тем не менее беспроводные сети приобретают все большую и большую популярность, поэтому в скором времени угроза от такого рода атак может стать вполне реальной. В особенности атака злой двойник применима к открытым беспроводным сетям, потому что атакующему не нужно предварительно взламывать защищенную сеть с целью получения пароля.^[3]

Оборудование

Реализовать атаку «злой двойник» может любой человек, имеющий достаточные знания и подходящее оборудование, например ноутбук с Wi-Fi сетевым адаптером, поддерживающим режим точки доступа. При современном развитии технологий, многие беспроводные адаптеры поддерживают данный режим.^[3]

Описание атаки

Беспроводной клиент подключается к точке доступа атакующего, вместо точки провайдера.

• Первым этапом злоумышленник должен провести радио-разведку места, где он предполагает установить беспроводную точку-близнеца. В результате данной разведки атакующий получит информацию о всех доступных Wi-Fi сетях, их SSID и типе шифрования. Так же он получит информацию об активных клиентах беспроводных сетей в виде MAC как клиентов, так и точек доступа (BSSID).

• Дальше атакующий может использовать, полученные на этапе анализа, SSID и BSSID выбранной для атаки точки доступа, для создания своего клона этой точки^[2]. «Злая» точка доступа может располагаться как физически ближе к атакуемому, так и находиться на достаточном расстоянии, в этом случае злоумышленник может использовать направленные антенны для усиления сигнала в зоне приема жертвы.

• Когда точка-двойник установлена и мощность приема/передачи двойника в зоне приема клиента превышает мощность копируемой точки доступа, велика вероятность, что атакуемый подключится именно к клону, а не к оригинальной точке доступа.^[4]

• После подключения клиента к точке доступа злоумышленника, становится возможным не только сохранить весь сетевой трафик, с целью дальнейшего анализа, но и подменить логин-страницы популярных сайтов, таких как google.com и vk.com, незаметно для пользователя. После чего атакуемый вводит свои персональные данные в такую форму, и они оказываются у злоумышленника. После чего атаку можно считать завершенной и атакующий может просто выключить свою точку, тем самым скрыв факт своего присутствия.^[5]

Защита

• Внимательность. Зачастую возможно обнаружить подмену логин-страниц из-за недостаточно точного копирования оригинала атакующим. Следует обращать внимание на мелочи, такие как анимации на странице, присутствие на странице всех картинок, соответствие версий страницы, например для мобильных устройств или нет.

• Использовать виртуальную частную сеть при подключении к открытым беспроводным сетям. В этом случае сетевой трафик, на пути от клиента до VPN сервера, зашифрован. Атакующий не сможет получить из канала связи информацию о действиях клиента и подменить оригинальные сайты - фишинговыми двойниками.^[6]

• Следить за сообщениями браузера о нарушении шифрования или несоответствующих сертификатах безопасности. При попытке подмены сайта, использующего шифрование канала связи на уровне протокола ( протоколы SSL/TLS/HTTPS), браузер может выдать ошибку.

Примечания

1. ↑ FAQ
2. ↑ ^{1 2} Smith, 2007
3. ↑ ^{1 2} Wi-Fi, 2008
4. ↑ Dino, 2005
5. ↑ Прудников, 2012
6. ↑ Kirk, 2007

Литература

1. Kirk, Jeremy ′Evil Twin′ Hotspots Proliferate // IDG News Service. — 2007.
2. http://www.wi-fi.org. Evil Twins FAQ  (англ.). http://www.wi-fi.org.
3. Smith, Andrew D. Strange Wi-Fi spots may harbor hackers: ID thieves may lurk behind a hot spot with a friendly name // The Dallas Morning News, Knight Ridder Tribune Business News. — 2007.
4. Wi-Fi: скрытая угроза. // http://newtimes.ru. — 2008. — В. 10.
5. Dino A. Dai Zovi, Shane A. Macaulay Attacking Automatic Wireless Network Selection. // http://newtimes.ru. — 2005.
6. Арсений Прудников Невидимая угроза здоровью, жизни и деньгам. // http://gazeta.ru. — 2012.

Ссылки

• Aircrack-ng
• Airsnarf
• CNN.com
• PC World
• Jasager – Karma on The Fon
• The End of The Internet (using Jasager)