Злой двойник

Атака «злой двойник» (англ. evil twin) — разновидность фишинга, применяемая в беспроводных компьютерных сетях^[1]. Атакующий создает копию беспроводной точки доступа, находящейся в радиусе приёма пользователя, тем самым подменяет оригинальную точку доступа двойником, к которому подключается пользователь, открывая злоумышленнику возможность доступа к конфиденциальной информации^[2].

Реализовать атаку «злой двойник» может любой человек, имеющий достаточные знания и подходящее оборудование, например, ноутбук с сетевым адаптером Wi-Fi, поддерживающим режим точки доступа. При современном развитии технологий многие беспроводные адаптеры поддерживают данный режим^[3].

Первым этапом злоумышленник должен провести радиоразведку места, где он предполагает установить беспроводную точку-двойника. В результате данной разведки атакующий получит информацию о всех доступных Wi-Fi-сетях, их SSID и типе шифрования. Также он получит информацию об активных клиентах беспроводных сетей в виде MAC-адресов как клиентов, так и точек доступа (BSSID).
Дальше атакующий может использовать полученные на этапе анализа SSID и BSSID выбранной для атаки точки доступа для создания своего клона этой точки^[2]. «Злая» точка доступа может располагаться как физически ближе к атакуемому, так и находиться на достаточном расстоянии, в случае чего злоумышленник может использовать направленные антенны для усиления сигнала в зоне приёма жертвы.
Когда точка-двойник установлена, и мощность приема/передачи двойника в зоне приёма клиента превышает мощность копируемой точки доступа, велика вероятность, что атакуемый подключится именно к клону, а не к оригинальной точке доступа^[4].
После подключения клиента к точке доступа злоумышленника становится возможным не только сохранить весь сетевой трафик с целью дальнейшего анализа, но и подменить логин-страницы популярных сайтов, таких, как google.com и vk.com незаметно для пользователя. При этом атакуемый вводит свои персональные данные в такую форму, и они оказываются у злоумышленника. После этого атаку можно считать завершенной, и атакующий может просто выключить свою точку, тем самым скрыв факт своего присутствия^[5].

Внимательность. Зачастую возможно обнаружить подмену логин-страниц из-за недостаточно точного копирования оригинала атакующим. Следует обращать внимание на мелочи, такие, как анимации на странице, присутствие на странице всех картинок, соответствие версий страницы, например, для мобильных устройств или нет.
Следить за сообщениями браузера о нарушении шифрования или несоответствующих сертификатах безопасности. При попытке подмены сайта, использующего шифрование канала связи на уровне протокола (протоколы SSL/TLS/HTTPS), браузер может выдать ошибку.

↑ FAQ.
↑ ¹ ² Smith, 2007.
↑ Wi-Fi, 2008.
↑ Dino, 2005.
↑ Прудников, 2012.

Kirk, Jeremy. ′Evil Twin′ Hotspots Proliferate // IDG News Service. — 2007.
http://www.wi-fi.org. Evil Twins FAQ (англ.) (недоступная ссылка — история). http://www.wi-fi.org.+Архивировано 25 января 2013 года.
Smith, Andrew D. Strange Wi-Fi spots may harbor hackers: ID thieves may lurk behind a hot spot with a friendly name // The Dallas Morning News, Knight Ridder Tribune Business News. — 2007. Архивировано 26 апреля 2015 года.
Wi-Fi: скрытая угроза. // http://newtimes.ru. — 2008. — Вып. 10.
Dino A. Dai Zovi, Shane A. Macaulay. Attacking Automatic Wireless Network Selection. // http://newtimes.ru. — 2005.
Арсений Прудников. Невидимая угроза здоровью, жизни и деньгам. // http://gazeta.ru. — 2012.

Aircrack-ng
Airsnarf
CNN.com
PC World
Jasager – Karma on The Fon
The End of The Internet (using Jasager)

[_8106a29c74c51b5b-1] FAQ.

[_81b02ab5799cd63d-2] ¹ ² Smith, 2007.

[_c4baa07a07de2913-3] Wi-Fi, 2008.

[_62a644ed3db0d52a-4] Dino, 2005.

[_0984d788882f0eef-5] Прудников, 2012.

[1]

[2]

[3]

[4]

[5]

Злой двойник

Оборудование

Описание атаки

Защита

Примечания

Литература

Ссылки

Категории