Qualcuno ha provato a falsificare la mia rete wifi?

13

Sto viaggiando su un treno in Svizzera, lavorando su un macbook collegato a un hotspot Wi-Fi che ho configurato sul mio telefono [1] utilizzando WPA2.

Ad un certo punto del viaggio, la connessione Internet diminuisce. Mentre mi chiedo perché, il sistema operativo mi chiede di reinserire la password per il wifi. Trovo strano (non è mai successo prima), ma controllo la password sul telefono (che, a proposito, indica una buona ricezione cellulare) e inseriscilo di nuovo sul macbook. Non riesco a connettermi.

Ora cambio le impostazioni dell'hotspot sul telefono, modificando l'SSID e la password. Posso connettermi al nuovo SSID senza problemi. Ora, entrambi gli SSID appaiono come reti disponibili sul mio macbook. Alcuni minuti dopo, l'SSID "NX5TAL" scompare.

Anche se questo probabilmente non è abbastanza informazioni per determinare con certezza cosa è successo, mi chiedo: è così che un attacco di spoofing del wifi (fallito?) sarebbe simile dal punto di vista della vittima?

[1] Google Nexus 5x, Android 8.1.0, patchlevel di sicurezza Dec 5, 2017

    
posta leopold.talirz 10.12.2017 - 19:34
fonte

1 risposta

12

While this is probably not enough information to determine with certainty what happened, I am wondering: is this how a (failed?) wifi spoofing attack would look like from the victim's point of view?

(che non è lo stesso che dire che è successo ).

In particolare, qualcuno nelle vicinanze potrebbe aver utilizzato airdump-ng o equivalente per ottenere l'SSID e l'indirizzo MAC del tuo AP.

Quindi avrebbe emesso un pacchetto deauth forgiato per disconnettere tutti gli AP. Questo corrisponde strettamente ai tuoi sintomi.

Infine, avrebbe impostato un falso punto di accesso con lo stesso MAC e SSID, ma trasmettendo con una potenza nettamente superiore (non molto difficile, visto che sta tentando di sopraffare uno smartphone). Il tuo Mac quindi si connette all'AP rogue.

La prossima cosa che sai, stai fornendo le tue credenziali (come ha notato Torin42, questo richiede un po 'di ingegneria sociale e funziona meglio con un piccolo aiuto dal sistema operativo) per l'aggressore. A quanto pare non è interessato a intercettare il tuo traffico (altrimenti ti avrebbe permesso di accedere, stando in attesa che tu inserissi altre credenziali come email, home banking e così via). Ma ora che ha le tue credenziali, è libero di dirottare il tuo punto di accesso e navigare gratuitamente senza bisogno di rompere la crittografia WPA2.

Il tentativo fallito perché hai cambiato la tua password WiFi e perché non ti ha permesso di collegarti all'AP non autorizzato. Quest'ultimo potrebbe aver rivelato altre credenziali sul Mac, non facendo il primo avrebbe lasciato il tuo AP esposto a una connessione con credenziali rubate.

Esistono strumenti diagnostici per PC e Android (non conosci il Mac) che potrebbero aiutare a riconoscere questa situazione: se esegui la scansione del quartiere con ad es. WiFi Analyzer (Play Store: com.farproc.wifi.analyzer), vedresti il tuo access point - che deve essere in esecuzione su un altro telefono - con un 'ombra' espandibile con lo stesso MAC di quello principale (gli estensori del range WiFi sarebbero avere lo stesso, con due MAC diversi).

Oppure - ancora più semplice - se spegni l'AP sul telefono e esegui la scansione del quartiere, dovresti vedere il nome del tuo AP, che normalmente non potrebbe mai essere visto (come le funzioni del client WiFi e del server AP) si escludono a vicenda).

    
risposta data 11.12.2017 - 16:15
fonte

Leggi altre domande sui tag