Шаги, которые нужно предпринять, когда они подвергаются нападению Wi-Fi "Evil Twin"?
Я хотел бы попросить о помощи, возможно, о том, что делать, когда на меня нападает "злой близнец".
Мой вопрос связан с этим: SSID с очень похожим именем, это попытка взлома? Но я совершенно уверен, что в моем случае это атака, и мне скорее нужны контрмеры, а не просто убедиться, что это атака.
Я также хотел бы отметить, что я не профессионал в области безопасности / сетей, хотя я студент-разработчик программного обеспечения. Я просто заметил, что происходит, потому что я часто читаю статьи на различные интересные ИТ-темы.
История:
Около месяца назад я заметил сеть WiFi с тем же именем, что и у меня (Paternoszter), которая появилась в моем списке WiFi на ноутбуке, когда я дома. Это открытая сеть, в отличие от моей, которая защищена паролем (только).
В течение первых нескольких дней я уделял мало внимания, кроме того, чтобы убедиться, что я подключаюсь к своей собственной сети, но затем моя сеть начала "отключаться" и подключаться к "поддельной", это когда я выключал свой WiFi и тоже мой роутер.
В этот момент я сообщил об инциденте властям, заполнил формы, отправил скриншоты и все, что они просили. Я получил обещание, что "они изучат это". Я использовал свой компьютер только в локальной сети в течение недели после этого, но дублированная сеть все еще сохраняется. (Он есть даже тогда, когда я отключаю маршрутизатор от электричества)
Прошел месяц, ничего не изменилось, но я слишком боюсь использовать свою собственную сеть WiFi. Это раздражает, потому что у меня нет опыта работы с такими вещами, я использовал 3 учебника только для того, чтобы выполнить настройки роутера. Я не знаю, что я мог сделать.
Есть ли какие-нибудь дальнейшие шаги, которые предпринимают такие начинающие, как я? Я надеялся, что они уже сдадутся.
ОБНОВЛЕНИЕ (2017.06.20.): Через три дня после этого поста "близнец" исчез, но, поскольку я понятия не имел, почему, я еще ничего не опубликовал. Оказалось, что власти это изучили, но мне сказали, что они ничего не могут мне сказать во время расследования. Я хочу поблагодарить все комментарии, это помогло мне успокоить нервы!
7 ответов
Это больше относится к тому, чтобы "выяснить, что происходит", а не к прямому исправлению.
Возьмите свой смартфон, зайдите в релевантный магазин приложений и загрузите одно из приложений для анализа Wi-Fi.
Выключите свой Wi-Fi или весь маршрутизатор
Используйте показание сигнала от анализатора Wi-Fi, чтобы определить, откуда передается проблемный ssid. Этот ответчик обнаружил, что его "дублированный SSID" транслировался с локального устройства, которое он смог найти. Даже если вы не можете получить доступ к тому месту, где находится устройство, вы должны быть в состоянии сузить его положение достаточно хорошо, чтобы легко сказать вам, кто это делает, то есть какой сосед.
В вашем комментарии говорилось, что когда вы меняли свой SSID, а затем возвращали его обратно, сеть "злых близнецов" сделала то же самое. Соедините это с тем фактом, что вы признаете, что не очень хорошо разбираетесь в работе с сетями, заставляет меня поверить, что это может быть гостевой SSID или другой SSID для другой частоты (2,4 ГГц против 5 ГГц), как подробно описано в вашем связанном вопросе. Ищите Гостевой или 5 ГГц в настройках вашего маршрутизатора для подтверждения. Если вы не можете понять, не стесняйтесь опубликовать свою модель маршрутизатора, и, возможно, один из нас может
Хотя это, вероятно, законно, чтобы соответствовать SSID, это кажется довольно рискованным для меня. Если кто-то решит создать сеть "открытого злого близнеца", это может иметь неприятные последствия как минимум двумя способами:
другие могли бы просто использовать его (с сильной криптографией) и исчерпать ежемесячное ограничение квоты / скорости запуска данных,
неизвестные пользователи могут использовать его для незаконных действий (обмен файлами, отправка писем с шантажом и т. д.), которые можно отследить до оператора "злой близнец".
Имея это в виду, вы можете просто поставить знаки "бесплатный WLAN", чтобы привлечь других (анонимных) пользователей. Это может заставить оператора мошеннической точки доступа подумать дважды:)
Обнаружение устройства-нарушителя - это то, что вы должны делать. Я бы также использовал анализатор Wi-Fi, как предложил Балдрикк.
Если это что-то, что пугает вас до такой степени, что вы не хотите использовать Wi-Fi, то #2, что вам нужно сделать, это защитить себя от будущих атак.
Технология WIPS\WIDS является достаточно новой, поэтому вам может быть сложно настроить ее вручную и дорого купить коммерческое решение.
Больше информации о беспроводных системах предотвращения вторжений:
https://en.wikipedia.org/wiki/Wireless_intrusion_prevention_system
Мне известно о недорогом домашнем решении, но, к сожалению, его еще нет. Он называется FingBox и имеет множество функций, которые дают вам контроль и информацию о вашей беспроводной сети. Он также может обнаруживать некоторые атаки, такие как Evil Twin и de-auth.
https://www.fing.io/home-network-security-device/
Если вы хотите попробовать свои силы в развертывании собственной системы, вот решение с открытым исходным кодом:
Даже если бы у вас была система WIDS, способная обнаруживать злого близнеца, вам все равно нужно было бы отследить устройство физически и противостоять владельцу. Хорошей новостью является то, что это, вероятно, в нескольких минутах ходьбы.
Лучший способ защититься от атаки "злого близнеца" - настроить новый SSID и отключить широковещательную рассылку. Когда вы отключите широковещательную рассылку на своем SSID, вы больше не увидите его в списках сетей вашего ПК /MAC WiFi. Вам нужно будет ввести его физически вместе с парольной фразой WPA2-PSK. Таким образом, никто не увидит ваш SSID. При настройке нового SSID попробуйте что-то совершенно иное, чем "Paternoszter" или "Paternoszter2" или "Paternoszter3". Сделайте это новым именем SSID. Надеюсь это поможет.
Выше некоторый защитный материал. Это довольно дорого, и это блокирует сотовый телефон и т. Д. Прием.
Если вы найдете приблизительное местоположение и временно разместите его на стенах, все внешние сигналы будут заблокированы.
Ваш собственный сигнал Wi-Fi находится внутри, поэтому он не будет затронут.
Наиболее вероятная атака (и я не знаю технических деталей, я вроде как хакерство) связана с устройствами, автоматически отправляющими пароли при попытке подключения.
Лучший способ проверить, успешно ли они работают, - это получить MAC-адреса всех ваших устройств и отслеживать подключенные mac-адреса. Если вы подозреваете, что существуют несанкционированные устройства, есть решение, но оно имеет недостаток.
Вы можете использовать фильтрацию MAC-адресов. Адрес Mac - это уникальный адрес для каждого сетевого устройства. Вы можете создать список в маршрутизаторе для внесения в белый список определенных mac-адресов.
Недостатком является то, что вы должны добавить каждый адрес вручную. Если много разовых пользователей, возможно, это того не стоит.
Еще одна вещь, которую вы можете сделать, - занести в черный список устройства, которые вы уже нашли в своей сети. Это менее эффективно, потому что довольно легко изменить ваши адреса Mac, но это становится намного сложнее, если вам нужно сопоставить определенный список из 20 адресов.