SSID з дуже схожою назвою, це спроба злому?


140

Я помітив, що в моєму Wi-Fi з’являється ще один SSID з таким самим ім’ям, як і мій (цілком особистий, тому його можна було лише скопіювати навмисно), але пара листів пишеться з великої літери. У їх версії немає безпеки. У шахті є WPA-PSK2. Я перевірив це, переконавшись у відключенні маршрутизатора, і поки мій зникнув через деякий час, їхнє залишилося.

Це хитрість при злому? Вони намагаються використовувати це для проникнення в мою мережу - оскільки я закрив шахту лише на затверджені MAC-адреси - думаючи, що я проскочу і приєднаюся до їхньої мережі?

Приклад:

  • Мій SSID: bestfriend
  • Їх SSID: BestFriend(з капіталом B&F)

50
більше людей повинні серйозно поставитися до безпеки. Можливо, якщо це цілеспрямована атака, ми називаємо ці зловмисні точки доступу, де ви імітуєте ім’я когось іншого і бачите, чи підключаються до нього клієнти. Але нам знадобиться додаткова інформація, як саме називається ваша мережа (ESSID) і скільки людей її використовують? Це особиста мережа? хто ще знає про цю мережу? у вашої дівчини є екс, який хоче повернутися разом з нею? ви розумієте ... деякі деталі були б добре.
Nalaurien

57
... можливо вони просто ввічливо просять вас змінити велику літери вашого SSID на "більш правильну", тому що це турбує їх, коли вони побачать це у своєму списку доступних мереж? Я можу собі уявити, що я це роблю ... "Ніколи не приписуй злобі того, що адекватно пояснюється крайнім задимленням" (?)
xDaizu

21
Підключіться до мережі за допомогою автоматичної машини та спробуйте сканувати всю підмережу з допомогою nmap, щоб побачити, що вони роблять.
Андре Борі

21
Може бути просто шанс. Ви були б вражені тим, наскільки популярні деякі SSID (напр., Варіанти на "фургоні спостереження ФБР").
Марк

18
ступайте уважно і не ігноруйте помилки SSL / TLS!
n00b

Відповіді:


130

Так, це, швидше за все, якась хакерська змова, хоча це здогад щодо того, чому.

Я зазначаю, що блокування маршрутизатора до конкретних MAC-адрес може забезпечити крихітний захист, але не дуже.

Також малоймовірно, що їх дії покликані зламати вашу мережу - вони швидше намагаються захопити ваш трафік.

Якби це я, я би скористався ними - я придбав би дешевий VPN та якесь виділене обладнання (низький специфічний ПК, великий жорсткий диск), підключив би його до VPN та їх мережі та сильно вилуговується. Оскільки ви використовуєте VPN, вони не зможуть перехопити ваш трафік, але ви можете споживати всю їх пропускну здатність, поки вони не прокинуться. (І у вас є правдоподібне заперечення "Ей, я думав, що я підключений до свого AP - я використовував SSID свого пристрою"

Кілька інших речей, які потрібно роздумати - Можна зрозуміти, що обидва ці AP-адреси насправді є вашими - один у діапазоні 2,4 гіга, один у 5-концертному діапазоні, а 5-гігавий діапазон просто не зашифрований. Перевірте конфігурацію маршрутизатора, щоб виключити це та / або якийсь аналізатор Wifi (у магазині Play для Android є декілька), який допоможе вам зрозуміти, звідки надходять сигнали, дивлячись на силу сигналу.

Слідкуйте за видаленням аутентичних пакетів. Якщо вони намагаються зламати ваші системи, це не здивувало б мене, якщо вони намагаються надсилати пакети, що дозволяють переавторуватися, щоб перешкоджати вашим зв’язкам, щоб збільшити ймовірність того, що хтось у вашій мережі намагається підключитися до них.


114
Він згадує, що він відключає маршрутизатор, а інша мережа залишається, це виключає, що це його 5-гігабайтний діапазон.
LPChip

13
Як це правдоподібне заперечення ? Ви просмукували пропускну здатність на дешевому комп’ютері, який ви купили через VPN, який зазвичай ніколи не використовуєте. Ви намагаєтесь брехати 5-річному чи судді?
Мехрдад

20
@Mehrdad Вірогідна заперечуваність існує, оскільки ваш сусід намагався обманути вас підключитися до їх AP - і ви потрапили на це. Мій сусід поводиться як хакер, тому цілком розумно отримати VPN, щоб захистити себе. (Крім того, мені не потрібно брехати судді, інша сторона - це та, яка пред'являє позов - мій адвокат може просто посіяти насіння сумнівів). Мені цікаво, про що думають кращі правові думки, тому я поставив це питання на law.se ( law.stackexchange.com/questions/19482/… )
davidgo

17
@Mehrdad Якщо я буду брехати про зловживання мережею, я б ризикнув на суддю до п'ятирічного віку!
Auspex

3
Незалежно від "правдоподібної заперечуваності", я вважаю неетичним відстоювати таку тінисту поведінку, тим більше, що, залежно від юрисдикції, підключення до відкритої точки доступу може цілком законно.
StockB

56

Мені здається, що це щось зване « Злий Близнюк ».

В основному зловмисник створює мережу, яка імітує вашу, щоб ви (або ваша машина все сама) підключалися до цього. Він домагається цього, як, як сказав Давидго, надсилаючи пакети для переадресації на ваш маршрутизатор, тож вам доведеться знову підключитися. Змінивши MAC-адресу власного маршрутизатора на ваш, ваш комп'ютер замість цього автоматично підключається до мережі зловмисників (враховуючи, що його сигнал сильніший). Це дозволяє зловмиснику ще більше заподіяти шкоду вам нападів Man-In-The-Middle або фальшивою DNS, яка перенаправляє загальні веб-сайти на фішинг-сайти.

Тепер ви можете тут займатися деякими науками і намагатися довести, що це справді зловмисник із поганими намірами і повідомити про це, або просто скористатися "вільним трафіком", але оскільки там можуть траплятися деякі шенагісти DNS, ви можете ризикувати видачею конфіденційної інформації коли не будьте обережні під час заповнення форм.


54
Зазвичай Evil Twin точно відповідає SSID. Я думаю, використовуючи великі літери, вони намагаються певними жертвами соціального інженера зробити так, щоб некерований SSID виглядав як поганий клон. "Подивіться на цей некапіталізований клон! Він робить погану роботу, змушуючи мене натискати його. Очевидно, я повинен натиснути великі літери, які виглядають більш офіційними, з деякою думкою, що його називають".
Corey Ogburn

3
Чому зловмисник турбує (підозрілий) SSID, якщо він може змусити ваш пристрій автоматично підключатися до маршрутизатора, підробляючи MAC-адресу?
JimmyB

7
@JimmyB Ймовірно, тому що зловмисник не може керувати умовою "враховуючи, що його сигнал сильніший". Тому замість того, щоб піти за комп’ютер, який не співпрацює, вони йдуть на неуважну людину.
Кевін Плата

3
Якщо механізм аутентифікації безпеки не є таким самим, як у вихідній бездротовій мережі, комп'ютер не підключиться до підробленої мережі, навіть якщо сигнал сильніший.
pHeoz

1
@JimmyB Після того, як пристрій підключиться до вашого підробленого SSID, вам не потрібно підробляти будь-яку MAC-адресу. Під час нападу Evil Twin ви намагаєтесь заманити жертву на свою бездротову мережу, надаючи їй той самий SSID і заважаючи клієнтам, що підключаються до реального (зриваючи сигнал або - що частіше - примушуючи їх знезахищатись від реального) AP). Більшість людей не вибирають SSID вручну, оскільки їх пристрій вже підключено до SSID їхньої домашньої мережі, лише коли у вас є новий пристрій, ви переглянете список доступних мереж, що зробить вас сприйнятливими до соціальної інженерії
BlueCacti

43

Я натрапив на подібний "випуск" на початку цього року, налагоджуючи проблеми бездротового підключення.

Моя пропозиція - питання: чи є у вас chromecast ?

Проблеми з підключенням зрештою були виною постачальника послуг, але я дійсно застряг у цьому червоному SSID-оселедці. За допомогою програми аналізатора потужності сигналу Wi-Fi на своєму телефоні я відстежив його до chromecast ( що було альтернативною написанням мого SSID Wi-Fi ), і було значно полегшення.

РЕДАКТ:. Важливо зауважити, що Chromecast потребує лише живлення (а не "Інтернету") для розміщення власного wifi, він буде підключатись до Wi-Fi, а також влаштовувати свій власний. Ви можете підключитися до цього, але це не робить нічого, якщо ви не налаштовуєте це через додаток


3
Так, я власник Chromecast. Але MAC-адреса додана в оригінальний маршрутизатор, і вона також не буде працювати, коли я відключив маршрутизатор тієї ночі.
К. Пік

Я додам, що мій Chromecast названий також SantoRican, але оскільки він не був підключений до Інтернету, Wifi був вимкнений, він був офлайн. Кабельний хлопець перевірив це, коли він прийшов виправити wifi, але сказав, що це не є причиною проблеми. (але ви ніколи не знаєте, що він може помилятися)
К. Пік

1
@ K.Pick Chromecast може виступати в ролі хоста, тому ви можете підключитися до нього за допомогою телефону та налаштувати його.
еме

2
Це, здається, є найбільш вірогідною відповіддю. Нечесні люди могли використовувати інші більш цікаві та менш очевидні способи. «Альтернативна капіталізація» повинна бути виділені жирним шрифтом , як це найочевидніший ключ , на мій погляд.
KalleMP

21
@ K.Pick: Не починайте здогадуватися про те, як перелічено хроматичне повідомлення у вашому маршрутизаторі. Просто відключіть підключений хромокаст і перевірте, чи SSID все ще є.
yankee

14

Ну - ти, схоже, сприймаєш безпеку досить серйозно. Можливо, хтось намагається обдурити людей, які приєднуються до іншої мережі. Найкращий спосіб почати розглядати це - змінити свій SSID на щось інше - а також досить конкретне, наприклад, слово з деякими цифрами, що заміняють літери, і побачити, чи змінює цей SSID подібний до вашого - можливо, ваш буде st0pthisі їхній StopThis. Якщо заздалегідь записати їх MAC-адресу SSID, щоб побачити, чи змінився інший SSID, ви можете бути ще більш підозрілими.

Хороший спосіб для Linux бачити MAC-адреси: iwlist YourInterfaceName scanning | egrep 'Cell |Encryption|Quality|Last beacon|ESSID'І звичайно, ви можете і справді слідкувати за вашою мережею щодо змін та підозрілих дій, а також постійно оновлювати ваші машини.


2
@ r0berts Має на увазі вибір з настійною рекомендацією.
wizzwizz4

Я розумію. Але в середньому я б сказав, що люди не знають, як слідкувати за їхніми мережами, тому немає сенсу змусити їх почуватися винними в цьому. Але точка взята)
r0berts

1
Навіть просто оновлення вашої системи з виправленнями та дотримання базової гігієни комп’ютера (брандмауер, який вводиться за замовчуванням, сучасний антивірус) пройде дуже довгий шлях до забезпечення безпеки вашої системи. На жаль, це найнижчий мінімум, необхідний сьогодні для будь-якої системи, підключеної до Інтернету. Дні, коли ви могли просто підключити до Інтернету будь-яку випадкову систему без жодних запобіжних заходів ...
CVn

Я з цим повністю згоден. Було б чудово, якби складність моніторингу вашої мережі могла бути зменшена, це все ще вимагає величезних інвестицій у час, щоб дізнатися про це для вашої домашньої локальної мережі.
r0berts

11

Простий трюк,

Змініть свій SSID і схойте його, щоб побачити, що станеться. Якщо вони знову копіюють ваш SSID, то ви знаєте, що у вас проблеми.

Екстремальний режим

Змініть діапазон локальної мережі DHCP на те, що не використовується у відкритій мережі

Налаштуйте статичний IP, якщо це можливо, щоб ваш ПК не міг використовувати відкритий WiFi

Налаштуйте налаштування Wi-Fi на своєму ПК, щоб не використовувати відкритих точок доступу Wi-Fi

Змініть пароль WiFi на щось подібне: HSAEz2ukki3ke2gu12WNuSDdDRxR3e

Змініть пароль адміністратора на маршрутизаторі лише для того, щоб переконатися. І нарешті використовувати клієнт VPN на всіх своїх пристроях (також і на телефонах)

Ви використовуєте фільтрацію MAC, і це хороша функція захисту низького рівня. Нарешті, скористайтеся стороннім брандмауером та програмним забезпеченням AV та встановіть параметри, які будуть дратівливо захищені, тому вам доведеться схвалювати майже кожну дію, яка має щось робити з Інтернетом або мережевою діяльністю.

Як тільки ви звикнете до цих речей, вам стане легше підтримувати, і ваш брандмауер розслабиться, оскільки він вчиться на ваших діях.

Повідомте нас! :)


10

Так, саме так ви вважаєте: хтось намагається обманути вас, щоб приєднатися до їх мережі помилково. Не підключайтеся до нього. Якщо ви зрозуміли, що тільки що зробили, запустіть антивірусне сканування та видаліть усі дані, які ви завантажували, оскільки це не можна довіряти. Якщо ви також надіслали конфіденційні дані, такі як пароль, через це шахрайське з'єднання, змініть його відразу.

Якщо ця точка доступу через деякий час не зникне, я пропоную вам докласти розумних зусиль, щоб зупинити її (наприклад, попросити своїх сусідів зупинити це або сказати своїм дітям зупинитися). Пристрій, здатний показувати потужність сигналу Wi-Fi, як мобільний телефон, повинен дозволяти вам досить точно відслідковувати розташування цієї точки доступу.


Додаток, який я рекомендував би для відстеження його інсайдерів. Він створений чудовими людьми в Метагеку.
Роуан Хокінс

9

Багато разів люди, які мають занепокоєння щодо безпеки, просто параноїдальні. У цьому випадку у вас є дуже законна причина для занепокоєння.

Не робіть висновку зловмисності на 100%, це може бути ІТ-кмітливим сусідом, який намагається змирити вас, скажімо, перенаправляючи запити веб-сайту на сайт-жарт. Або хтось, хто намагався налаштувати власну мережу і випадково наслідував вашу (але я схильний сумніватися в тому, що будь-який маршрутизатор сьогодні матиме вимогу пароля за замовчуванням). Але в основному людина зможе побачити багато вашого трафіку, які веб-сайти ви відвідуєте, те, що ви надсилаєте та отримуєте, крім того, що зашифровано (і багато чого не зашифровано). Це могло б бути шантажем, шпигунством, переслідуванням. З іншого боку, це не надто вишукано і досить легко виявити, так хто знає.

Що ще важливіше, це не якась загальна масова глобальна атака з боку іноземних хакерів, це означає, що фізична точка доступу розташована поблизу вашого будинку. Якби я був ти, я б не ставпопередити їх, але спробуйте знайти. Якщо у вас є запобіжник, вимикайте живлення один раз за часом і зачекайте п'ять хвилин і подивіться, чи зникне точка доступу. Це скаже вам, чи це щось у вашому домі. В іншому випадку ви можете використовувати тріангуляцію, силу сигналу з GPS-реєстратором на телефоні та прогулятися по сусідству, або Pringles зможе дізнатися, де він знаходиться. Ви можете знайти старого колишнього з ножем, закопаним ящиком або нерозумних дітей сусіда. Якщо вони достатньо дбають про це, вони також можуть мати аудіо помилку. Спочатку вистежте, де він знаходиться, і якщо він знаходиться в будинку когось, то, можливо, вам захочеться зателефонувати охоронцю з роботи і постукати в двері.


2
Я теж думаю, що було б цікаво дізнатися місце розташування мережі, перш ніж вона вимикається. Відповідь Chromecast вище може бути доброзичливим поясненням.
KalleMP

Ssid зник вранці, інтернет-компанія прийшла виправити мережу, тому я вірю, якщо це був хтось поруч, вони, можливо, побачили вантажівку і потягли її вниз.
К. Пік

2

Інші відповіді поки що дають тобі достатньо, щоб зробити цю конкретну ситуацію.

Однак слід зазначити, що ви помітили ситуацію, яка може бути спробою вторгнення у ваші приватні дані. Бувають й інші ситуації, коли подібний напад менш помітний. Наприклад, якщо ваш сусід знає ваш Wi-Fi-пароль, який ви могли їм сказати, коли вони люб’язно попросили, оскільки вони були новими в будинку і там власна висхідна лінія ще не була готова. Але найгірше: якщо ви користуєтеся незашифрованим Wi-Fi (або тим, де пароль загальновідомий), наприклад, у готелі Hotel або Airport Wifi, виявити ці атаки буде дуже важко, тому що зловмисник може налаштувати wifi з ТОЧНО тим самим налаштувань (той же пароль і той самий SSID), і ваші пристрої автоматично підключаться до найсильнішого сигналу і ніколи не скажуть вам, що він зробив вибір.

Єдиний варіант насправді залишатися в безпеці - це зашифрувати ВСІЙ ваш трафік. Ніколи не вводьте свій пароль, електронну адресу, номер кредитної картки чи будь-яку іншу інформацію на веб-сайті, який не зашифрований SSL / TLS. Розгляньте завантаження з незашифрованих веб-сайтів як компрометовані (зловмисне програмне забезпечення могло бути введено). Перш ніж вводити / завантажувати дані на зашифрованому веб-сайті, переконайтеся, що ви перебуваєте у правильному домені (google.com, а не giigle.com. SSL не допоможе, якщо ви перебуваєте в домені, з яким не хочете спілкуватися). Встановіть HTTPS-скрізьтощо. Також пам’ятайте, що існують інші сервіси, крім вашого веб-браузера, які можуть передавати дані, наприклад, клієнт електронної пошти IMAP. Переконайтеся, що він також працює лише на зашифрованих з'єднаннях. Сьогодні навряд чи є якась причина, щоб не шифрувати весь ваш трафік, тим не менш, деякі розробники просто лінуються і т. Д. Якщо вам потрібно скористатися якоюсь програмою, яка не підтримує SSL або подібний захід безпеки, тоді використовуйте VPN. Зауважте, що постачальник VPN все одно зможе прочитати весь ваш трафік, який не шифрується на додаток до шифрування, яке надає VPN.


1

Якщо це хакерська спроба, її вводить хтось невіглас. Кожен SSID може бути захищений певним паролем і з якоюсь криптографічною силою.

Просто те, що інша точка доступу налаштована з тим самим іменем, що і найближча точка доступу, - це те саме, що і це:

Мене звуть Стів Сміт, і я щойно переїхав до будинку. І як це буває правдою, мого наступного сусіда звуть Стів Сміт. Але тільки тому, що ми з сусідом і тим самим ім'ям, не означає, що ключ від моєї вхідної двері буде працювати на його вхідній двері .... Також це не означає, що ключ від моїх дверей магічно переробить себе, щоб він також працював на його двері ...

І ЩО таке насправді, з точки зору дивитися на це з можливого сценарію злому ...

Ваші відповіді:

1) Це хитрощі при злому?

 - Maybe, but it won't work.

2) Чи намагаються вони використати це для проникнення в мою мережу - оскільки я закрив шахту лише для затверджених MAC-адрес - думаючи, що я проскочу і приєднаюся до їхньої мережі?

 - They might be, but it doesn't matter, since it won't work. 

1
Будь ласка, надайте рішення для ОП не просто коментарі
yass

0

Відповідь досить проста,
ЯКЩО це не ваше, що ви можете перевірити, відключивши chromecast та маршрутизатор (також переконайтеся, що інші AP-адреси відключені).

Якщо вона все ще зберігається, це, швидше за все, спроба контролювати ваш трафік, в більшості випадків це не може заподіяти ніякої шкоди, за винятком випадків, коли ви використовуєте багато незашифрованих сайтів (HTTP) замість зашифрованих (HTTPS).

Якщо ви використовуєте HTTP, все, що ви надсилаєте, буде надіслано як звичайний текст, тобто якщо ваш пароль "123abc", вони також зможуть побачити "123abc".

Програма, яка здатна підірвати ваш трафік, наприклад, WireShark.


0

Якби це хакерська змова, мережевий SSID був би таким самим, як і ваш, і відкритим - щоб ви підключились до нього автоматично (якби вони мали сильніший сигнал), і ви цього не помітили.

Я часто роблю це своїм сусідам у вихідні дні, коли вони грають на youtube на своєму ноутбуці чи телефоні після 1 години ночі - в основному клонують їхню мережу (дозволений лише один унікальний SSID) і вводять пароль - це зупиняє їх, коли вони виходять із сигналу та повертаються назад і вони ніколи цього не з'ясували. Вони просто думають, що WiFi знову порушений.

Якщо я залишу його відкритим, немає пароля - вони з’єднаються, і я зможу виконати перенаправлення DNS або людину під час посередньої атаки та відстежувати їхню чисту активність або інші речі, які можуть вважатися незаконними і бачити підключені пристрої - але цього не відбувається.

Як аналітик з безпеки, я вважаю, що мережевий ідентифікатор типу "bestfriend" просто створив новий "BestFriend".

Якби це був справжній злом хакерства - це був би той самий SSID та відкрита мережа, і ви, швидше за все, не помітите, коли ви знову підключились до WiFi, так як, наприклад, є автозв'язок для назви.

Це дуже старий трюк - взяти ноутбук у кафе для кава, а DNS перенаправити з бездротового ключа до їхнього входу на сайт - отримати трафік людей.

Однією з причин того, що зчитувачі карт часто працюють за допомогою Wi-Fi і перебувають у банку, - це занадто легко мережу MiM a Starbuck і ще кілька секунд для перегляду кеш-зображень кожного пристрою - також готелі, які використовують ретранслятори для розширеного WiFi.

Esp у США, де деякі готелі навіть не мають пароля і дуже високі. Понюхайте, що за кілька секунд і навіть зателефонуйте до апарату основного столу чи компенсації з телефону.

(У мене були імена мереж типу "Я бачив тебе оголеним", і хтось змінив їх на "я теж" і "я не хочу бачити тебе оголеним". Або надсилав повідомлення, наприклад, "робочі зміни", тож сусіди знають, що це нормально вечірки всю ніч, але, будь ласка, не будіть мене, постукавши в двері для чату, бо я спати о 08:00).

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.