Passos a serem tomados quando forem atacados pelo ataque WiFi “Evil Twin”?

Navegue suas respostas
3

Gostaria de pedir ajuda, talvez etapas sobre o que fazer, quando for alvo de um ataque de "Evil Twin".

Minha pergunta está relacionada a isso: SSID com nome muito semelhante, isso é uma tentativa de hacking? Mas tenho certeza de que é um ataque no meu caso, e eu prefiro contramedidas, não apenas me certificando do fato de que é um ataque.

Também gostaria de salientar que não sou profissional de segurança / rede, embora seja um estudante desenvolvedor de software. Eu simplesmente notei o que está acontecendo porque eu frequentemente leio artigos sobre vários tópicos interessantes de TI.

A história:

Cerca de um mês atrás, notei uma rede WiFi com o mesmo nome da minha (Paternoszter), aparecendo na minha lista de Wi-Fi do laptop quando estou em casa. É uma rede aberta, ao contrário da minha, que é protegida por senha (apenas).

Durante os primeiros dias, não prestei muita atenção além de garantir que estou me conectando à minha própria rede , mas depois minha rede começou a "desconectar" e se reconectar ao "falso" "one , isto é quando eu desliguei meu WiFi, e também meu roteador .

Neste ponto, relatei o incidente às autoridades , preenchai os formulários, enviei capturas de tela e tudo o que eles pediram. Eu tenho uma promessa de que "eles vão investigar". Eu usei meu computador somente na LAN por uma semana depois, mas a rede duplicada ainda persiste. (Ele está lá mesmo quando eu desconecto meu roteador da eletricidade)

Um mês se passou, nada mudou, mas estou com muito medo de usar minha própria rede WiFi. É chato porque eu tenho zero experiência com coisas assim, eu usei 3 tutoriais apenas para fazer as configurações do meu roteador. Eu não sei o que eu poderia fazer.

Existem outras etapas que um iniciante como eu faz? Eu esperava que elas desistissem agora.

UPDATE (2017.06.20.) : Três dias depois deste post o "gêmeo" desapareceu, mas como eu não tinha ideia do motivo, ainda não postei nada. Acontece que as autoridades investigaram isso, mas me disseram que não podem me dizer nada durante a investigação. Quero agradecer a todos os comentários, isso me ajudou a acalmar meus nervos!

    
por Dragonturtle 12.06.2017 / 11:49

7 respostas

3

Seu comentário disse que quando você mudou o seu SSID, então mudou de volta a rede 'gêmeo do mal' fez o mesmo. Junte isso ao fato de você admitir que não está sendo muito conhecedor de networking, o que me leva a acreditar que isso poderia ser um SSID convidado ou outro SSID para uma frequência diferente (2.4GHz vs 5GHz), conforme detalhado em seu a questão relacionada . Procure Guest ou 5GHz nas configurações do seu roteador para confirmar. Se você não entender, sinta-se à vontade para postar o modelo do seu roteador & talvez um de nós possa

    
por 12.06.2017 / 20:03
3

Isso é mais do que "descobrir o que está acontecendo" do que ser uma correção direta.

Agarre o seu smartphone, vá ao appstore do relavent e baixe um dos aplicativos do analisador wifi.

Desligue seu Wi-Fi ou todo o seu roteador

Use a leitura strenth do sinal do analisador wifi para identificar de onde o problema está sendo transmitido. Esse respondente descobriu que seu "SSID duplicado" estava sendo transmitido de um dispositivo local, que ele conseguiu localizar. Mesmo que você não consiga acessar onde o dispositivo é , você deve ser capaz de restringir sua posição o suficiente para dizer a você quem está fazendo isso, ou seja, qual vizinho.

    
por 15.06.2017 / 15:49
0

A melhor maneira de se defender contra um ataque "gêmeo maligno" é configurar um novo SSID e desabilitar a transmissão. Quando você desativa a transmissão no seu SSID, você não verá mais nas suas listas de redes PC / MAC WiFi. Você terá que digitá-lo fisicamente junto com a senha WPA2-PSK. Desta forma, ninguém verá o seu SSID. Ao configurar um novo SSID, tente um pouco diferente de "Paternoszter" ou "Paternoszter2" ou "Paternoszter3". Faça um novo nome SSID. Espero que isso ajude.

    
por 12.06.2017 / 18:28
0

Embora seja legal coincidir com o SSID, parece bastante arriscado para mim. Se alguém decide fornecer uma rede "abrir um gêmeo maligno", isso pode sair pelo menos de duas maneiras:

  1. outras pessoas poderiam simplesmente usar (com criptografia strong) e esgotar a limitação de cota de dados / acionamento de dados mensais,

  2. usuários desconhecidos poderiam usá-lo para coisas ilegais (compartilhamento de arquivos, envio de cartas de chantagem, qualquer coisa), que seria rastreada até o operador "gêmeo malvado".

Com isso em mente, você pode colocar apenas sinais de "WLAN livre" para atrair outros usuários (anônimos). Isso pode fazer com que o operador do ponto de acesso não autorizado pense duas vezes:)

    
por 12.06.2017 / 19:30
0

Localizar o dispositivo ofensivo é a primeira coisa que você deve fazer. Eu também usaria o analisador Wi-Fi, como Baldrickk sugeriu.

Se isso é algo que está assustando você a ponto de não querer usar o Wi-Fi, a segunda coisa que você precisa fazer é se proteger de ataques futuros.

A tecnologia WIPS \ WIDS é nova o suficiente para que seja difícil para você configurar manualmente e caro comprar uma solução comercial.

Mais informações sobre os sistemas de prevenção contra intrusões sem fio:

link

Existe uma solução doméstica de baixo custo que conheço, mas, infelizmente, ainda não saiu. É chamado de FingBox e possui vários recursos para fornecer controle e informações sobre sua rede sem fio. Ele também pode detectar alguns ataques, como o Evil Twin e um de-auth flood.

link

Se você quiser testar seu próprio sistema, aqui está a solução opensource:

link

Mesmo se você tivesse um sistema WIDS capaz de detectar o Evil Twin, você ainda precisaria rastrear fisicamente o dispositivo e confrontar o proprietário. A boa notícia é que provavelmente está a uma curta distância.

    
por 17.06.2017 / 00:43
0

link

Acima está algum material de proteção. É meio caro e bloqueia o celular e a recepção.

Se você puder encontrar a localização aproximada e colocar isso em suas paredes temporariamente, todos os sinais externos serão bloqueados.

Seu próprio sinal de wi-fi está no interior para que não seja afetado.

    
por 17.06.2017 / 02:40
-1

O ataque mais provável (e eu não sei os detalhes da tecnologia, eu sou um péssimo hacker) tem algo a ver com dispositivos que automaticamente enviam senhas tentando se conectar.
A melhor maneira de verificar se eles são bem sucedidos é obter o mac addres de todos os seus dispositivos e monitorar os endereços mac conectados. Se você suspeita que existem dispositivos não autorizados, existe uma solução, mas tem um lado negativo.

Você pode usar a filtragem de endereços mac. Mac addres é um endereço único para todos os dispositivos de rede. Você poderia criar uma lista no roteador para colocar na lista de permissões certos endereços mac.

A desvantagem é que você precisa adicionar todos os endereços manualmente. Se houver muitos usuários únicos, pode ser que não valha a pena o esforço.

Outra coisa que você pode fazer é colocar na lista negra os dispositivos que você já encontrou em sua rede. Isso é menos eficiente porque é muito fácil alterar seus endereços MAC, mas fica muito mais difícil se você tiver que corresponder a uma lista específica de talvez 20 endereços

    
por 13.06.2017 / 15:14

Tags

Por que o roteador envia pacotes para o endereço multicast? É possível fazer com que o Windows 10 mostre links simbólicos com um ícone diferente no Explorer?