While this is probably not enough information to determine with
certainty what happened, I am wondering: is this how a (failed?) wifi
spoofing attack would look like from the victim's point of view?
Sì (che non è lo stesso che dire che è successo ).
In particolare, qualcuno nelle vicinanze potrebbe aver utilizzato airdump-ng
o equivalente per ottenere l'SSID e l'indirizzo MAC del tuo AP.
Quindi avrebbe emesso un pacchetto deauth forgiato per disconnettere tutti gli AP. Questo corrisponde strettamente ai tuoi sintomi.
Infine, avrebbe impostato un falso punto di accesso con lo stesso MAC e SSID, ma trasmettendo con una potenza nettamente superiore (non molto difficile, visto che sta tentando di sopraffare uno smartphone). Il tuo Mac quindi si connette all'AP rogue.
La prossima cosa che sai, stai fornendo le tue credenziali (come ha notato Torin42, questo richiede un po 'di ingegneria sociale e funziona meglio con un piccolo aiuto dal sistema operativo) per l'aggressore. A quanto pare non è interessato a intercettare il tuo traffico (altrimenti ti avrebbe permesso di accedere, stando in attesa che tu inserissi altre credenziali come email, home banking e così via). Ma ora che ha le tue credenziali, è libero di dirottare il tuo punto di accesso e navigare gratuitamente senza bisogno di rompere la crittografia WPA2.
Il tentativo fallito perché hai cambiato la tua password WiFi e perché non ti ha permesso di collegarti all'AP non autorizzato. Quest'ultimo potrebbe aver rivelato altre credenziali sul Mac, non facendo il primo avrebbe lasciato il tuo AP esposto a una connessione con credenziali rubate.
Esistono strumenti diagnostici per PC e Android (non conosci il Mac) che potrebbero aiutare a riconoscere questa situazione: se esegui la scansione del quartiere con ad es. WiFi Analyzer (Play Store: com.farproc.wifi.analyzer), vedresti il tuo access point - che deve essere in esecuzione su un altro telefono - con un 'ombra' espandibile con lo stesso MAC di quello principale (gli estensori del range WiFi sarebbero avere lo stesso, con due MAC diversi).
Oppure - ancora più semplice - se spegni l'AP sul telefono e esegui la scansione del quartiere, dovresti vedere il nome del tuo AP, che normalmente non potrebbe mai essere visto (come le funzioni del client WiFi e del server AP) si escludono a vicenda).