Aresztowano hackera, który uruchamiał lewe access pointy WiFi na lotniskach / w samolotach / w miejscach swojej pracy. Uruchamiał jeden sprytny atak, przed którym nie pomoże i VPN. Australia.

Opisywany przez australijską policję atak, to tzw. evil twin, czyli podstawienie sieci o tej samej nazwie co oryginalna. Ale do której sieci podłączy się Twój laptop / telefon, jeśli będzie miał do dyspozycji kilka sieci bezprzewodowych o tej samej nazwie? Najpewniej do tej, która ma silniejszy sygnał.

Z kolei jeśli w samolocie pojawi się sieć, która była dostępna na lotnisku, to do wyboru mamy tylko jedną – czyli tę ustawioną przez atakującego. Ale przecież i tak szyfruję wszystko co wysyłam do Internetu (HTTPS, HSTS, VPN, i takie tam) – powiesz. OK, ale pewnie spotkałeś się z czymś takim jak captive portal, uruchamiany czasem przy próbie podłączenia się do sieci WiFi. W skrócie: najpierw łączysz się do sieci, a następnie automatycznie otwiera Ci się okienko przeglądarkowe, gdzie musisz podać pewne dodatkowe dane, albo przynajmniej zaakceptować warunki korzystania z sieci. Dopiero po takiej akceptacji masz „pełen” dostęp do sieci.

Otóż nasz ~hacker uruchamiał właśnie fałszywy captive portal z np. „koniecznością podania swoich danych logowania do serwisów społecznościowych bądź skrzynki pocztowej”. Atak można przeprowadzić dla sieci „zabezpieczonych” / „otwartych”, ale w przypadku otwartych jest to nieco łatwiejsze (dla „zabezpieczonych” atakujący musi po swojej stronie ustawić jeszcze hasło dostępowe – dokładnie takie samo, jak w przypadku oryginalnej sieci – w przeciwnym przypadku klient nie podłączy się do fałszywej sieci).

VPN nie obroni przed takim atakiem, bo atak realizowany jest jeszcze przed tym, kiedy uzyskamy pełen dostęp do Internetu (czyli przed tym kiedy VPN będzie mógł się „podłączyć”). Analogicznie – nawet jeśli mamy połączenie przez VPN, to jeśli wpiszemy swoje dane logowania w fałszywym serwisie – scammerzy uzyskają dostęp do tych danych.

Hacker został aresztowany po tym jak w trakcie jednego z lokalnych lotów w Australii, obsługa samolotu zgłosiła „podejrzaną sieć WiFi, która była rozgłaszana w trakcie lotu”. W bagażu znaleziono potencjalne „narzędzia przestępstwa” czyli: „portable wireless access device, a laptop and a mobile phone”. Policja przeszukała również miejsce zamieszkania ~hackera, gdzie w szczególności udało się zlokalizować „dane osobowe” wykradzione innym osobom.

Rekomendacje są dość oczywiste:

• Pamiętaj żeby nie podawać żadnych wrażliwych danych (np. danych logowania) w okienkach wyskakujących po podłączeniu się do publicznej sieci WiFi (tj. w tzw. captive portalu)

• Rozważ wyłączenie automatycznego podłączania się do 'otwartych’ sieci WiFi, z którymi wcześniej się łączyłeś

• Uwaga też na ustawienia firewalla – tak żeby ew. potencjalnie podatne usługi / ew. udostępnione pliki z Twojego systemu nie były udostępnione do publicznej sieci WiFi (domyślne ustawienia firewalla zazwyczaj powinny blokować połączenia do takich usług)

~Michał Sajdak