Атака «Злой двойник»
@itgeekkЧто такое атака «Злой двойник?» Это разновидность фишинга, применяемая в беспроводных сетях. Атакующий создает копию ТД, которая находится в радиусе приёма пользователя и подменяет её своей, к которой подключается пользователь.
Как происходит атака?
Сначала атакующий проводит разведку должен провести радиоразведку, входе которой он получает информацию о всех беспроводных сетях радиусе действия своего устройства. Он узнает mac-адреса, типы шифрования, BSSID и ESSID.
Когда точка-двойник установлена, и мощность приема/передачи двойника в зоне приёма клиента превышает мощность копируемой точки доступа, велика вероятность, что атакуемый подключится именно к клону, а не к оригинальной точке доступа.
После подключения клиента к ТД атакующий имеет возможность сохранить весь сетевой трафик для анализа, но и подменить DNS для кражи учетных данных и заманивая человека на фишинговую страницу, которая никак не будет отличаться от настоящей страницы.
После атаки атакующий просто отключает адаптер и его становится не найти.
Как защититься?
Панацеи от так атак нет, но есть рекомендации, которые помогут выявить хотя бы большую часть атак.
Смотреть на страницу и искать странности. Плохая анимация, нет каких-то элементов, нарушена кодировка или шрифт.
Шифровать свой трафик. Использовать VPN, DNS-crypt и тд.
Следить за сообщениями браузера о нарушении шифрования или несоответствующих сертификатах. Неопытные атакующие забывают создать свой сертификат для обхода уведомления об ошибках SSL и тд. Это будет нам на руку.
Как мы видим защититься от атак можно, но это не даёт полной безопасности.
Всем спасибо.