SSID con un nome molto simile, è un tentativo di hacking?

141

Ho notato che un altro SSID appare nel mio WiFi con lo stesso nome del mio (abbastanza personale quindi avrebbe potuto essere copiato solo intenzionalmente) ma un paio di lettere sono in maiuscolo. La loro versione non ha sicurezza. Il mio ha WPA-PSK2. L'ho provato per certo scollegando il mio router e mentre il mio scompariva dopo un po ', il loro è rimasto.

È uno stratagemma per l'hacking? Stanno cercando di usarlo per infiltrarsi nella mia rete - dal momento che ho chiuso il mio solo per indirizzi MAC approvati - pensando di scivolare e unirmi alla loro rete?

Esempio:

  • Il mio SSID: bestfriend
  • Il loro SSID: BestFriend(con maiuscole e minuscole)
wireless-networking  router  ssid 
K. Pick
fonte
50
più persone dovrebbero prendere sul serio la sicurezza. È possibile, se si tratta di un attacco mirato, chiamiamo questi punti di accesso non autorizzati, in cui imiti il ​​nome di qualcun altro e vedi se i client si connettono ad esso. Ma avremo bisogno di ulteriori informazioni, qual è esattamente il nome della tua rete (ESSID) e quante persone lo usano? Questa è una rete personale? chi altro conosce questa rete? la tua ragazza ha un ex che vuole tornare insieme a lei? ti viene l'idea ... alcuni dettagli sarebbero buoni.
Nalaurien,
57
... forse ti stanno solo educatamente chiedendo di cambiare la capitalizzazione del tuo SSID in "uno più corretto" perché li disturba quando lo vedono nella loro lista di reti disponibili? Posso immaginarmi di farlo ... "Non attribuire mai alla malvagità ciò che è adeguatamente spiegato da un nitpicking estremo" (?)
xDaizu,
21
Connettiti alla rete con una macchina usa e getta e prova a scansionare l'intera sottorete con nmap per vedere cosa stanno facendo.
André Borie,
21
Potrebbe essere solo una possibilità. Sareste sorpresi di quanto siano popolari alcuni SSID (es. Variazioni su "FBI Surveillance Van").
Segna l'
18
procedere con cautela e non ignorare gli errori SSL / TLS!
n00b,

Risposte:

130

Sì, è molto probabilmente una specie di stratagemma di hacking, anche se è una supposizione sul perché.

Sottolineo che bloccare il router su indirizzi MAC specifici potrebbe fornire un po 'di sicurezza, ma non molto.

È anche improbabile che le loro azioni siano progettate per hackerare la tua rete: è più probabile che provino a catturare il tuo traffico.

Se fossi in me, ne trarrebbero vantaggio: otterrei una VPN economica e alcuni hardware dedicati (PC con specifiche ridotte, disco rigido di grandi dimensioni), collegherei alla VPN e alla loro rete e lisciverei. Poiché stai utilizzando una VPN, non saranno in grado di intercettare il tuo traffico, ma puoi consumare tutta la loro larghezza di banda fino al loro risveglio. (E hai una negabilità plausibile "Ehi, pensavo di essere collegato al mio AP - ho usato l'SSID del mio dispositivo)

Un paio di altre cose su cui riflettere: è ipotizzabile che entrambi questi AP siano effettivamente tuoi: uno nella banda 2.4, uno nella banda 5 e la banda 5 non è semplicemente crittografata. Controlla la configurazione del tuo router per escluderlo e / o una sorta di Wifi Analyzer (ce ne sono alcuni disponibili nel Play Store per Android) per aiutarti a capire da dove provengono i segnali osservando l'intensità del segnale.

Fai attenzione ai pacchetti di de-auth. Se stanno tentando di hackerare i tuoi sistemi, non mi sorprenderebbe se tentassero di inviare pacchetti di de-auth per interferire con le tue connessioni per aumentare le possibilità che qualcuno sulla tua rete tenti di connettersi a loro.

davidgo
fonte
114
Dice che scollega il router e che rimane l'altra rete, questo esclude che è la sua banda da 5gig.
LPChip,
13
Come è questa plausibile negabilità ? Stavi lisciando la larghezza di banda su un computer economico che hai acquistato su una VPN che normalmente non usi mai. Stai cercando di mentire a un bambino di 5 anni o a un giudice?
Mehrdad,
20
@Mehrdad La negabilità plausibile esiste mentre il tuo vicino stava cercando di ingannarti per connetterti al loro AP - e tu ti sei innamorato di questo. Il mio vicino si comporta come un hacker, quindi è del tutto ragionevole ottenere una VPN per proteggermi. (Inoltre, non ho bisogno di mentire a un giudice, l'altra parte è quella che fa la domanda - il mio avvocato potrebbe semplicemente seminare i semi del dubbio). Sono curioso di sapere cosa pensano meglio le menti legali, quindi l'ho posto a una domanda su law.se ( law.stackexchange.com/questions/19482/… )
davidgo,
17
@Mehrdad Se mentirò sull'hacking di rete, rischierei a un giudice di fronte a un bambino di cinque anni!
Auspex,
3
A prescindere dalla "plausibile negabilità", trovo poco etico sostenere tale comportamento losco, soprattutto perché, a seconda della giurisdizione, può essere del tutto legale collegarsi a un punto di accesso aperto.
StockB
56

Mi sembra che questo sia qualcosa chiamato " Evil Twin ".

Fondamentalmente l'attaccante crea una rete che imita la tua, così tu (o la tua macchina da sola) ti connetti a quella. Lo ottiene, come ha detto David, inviando pacchetti di de-auth al router in modo da dover riconnetterti. Modificando l'indirizzo MAC del proprio router con quello del proprio, il computer si collega automaticamente alla rete degli aggressori (dato che il suo segnale è più forte). Ciò consente all'attaccante di danneggiarti ulteriormente con attacchi man-in-the-middle o un falso DNS che reindirizza siti Web comuni a siti di phishing.

Ora potresti fare un po 'di scienza qui e provare a dimostrare che questo è davvero un attaccante con cattive intenzioni e denunciarlo, o semplicemente sfruttare il "traffico gratuito" ma poiché potrebbero esserci degli shenanigans DNS in corso potresti rischiare di divulgare informazioni sensibili quando non si sta attenti durante la compilazione dei moduli.

Eco
fonte
54
Normalmente un gemello malvagio corrisponde esattamente al SSID. Penso che capitalizzando alcune lettere stiano cercando di ingannare le potenziali vittime dell'ingegnere sociale e far sembrare l'SSID non capitalizzato come il cattivo clone. "Guarda questo clone non capitalizzato! Sta facendo un brutto lavoro nel farmi fare clic su di esso. Ovviamente dovrei fare clic su quello in maiuscolo che sembra più ufficiale con un pensiero messo nel nominarlo."
Corey Ogburn,
3
Perché l'attaccante dovrebbe preoccuparsi di un SSID (sospetto) se è in grado di connettere automaticamente il tuo dispositivo al router falsificando l'indirizzo MAC?
JimmyB,
7
@JimmyB Probabilmente perché l'attaccante non è in grado di gestire il presupposto "dato che il suo segnale è più forte". Quindi, piuttosto che optare per il computer che non collabora, scelgono l'umano distratto.
Kevin Fee,
3
Se il meccanismo di autenticazione di sicurezza non è esattamente lo stesso della rete wireless originale, il computer non si connetterà alla rete falsa, anche se il segnale è più forte.
pHeoz,
1
@JimmyB Una volta che un dispositivo si è collegato al tuo SSID falso, non è necessario falsificare alcun indirizzo MAC. In un attacco di Evil Twin provi ad attirare la vittima sulla tua rete wireless dandogli lo stesso SSID e interferendo con i client che si connettono a quello reale (interrompendo il segnale o - più comunemente - costringendoli a disautenticare dal reale AP). Molte persone non scelgono manualmente un SSID poiché il loro dispositivo è già connesso all'SSID della loro rete domestica, solo quando hai un nuovo dispositivo guarderai l'elenco delle reti disponibili, rendendoti suscettibile al Social Engineering
BlueCacti
43

Mi sono imbattuto in un "problema" simile all'inizio di quest'anno durante il debug dei problemi di connettività wireless.

Il mio suggerimento è una domanda: possiedi un Chromecast ?

I problemi di connettività finirono per essere interamente colpa del fornitore di servizi, ma ero davvero bloccato su questo SSID aringhe rosse. Usando un'app di analisi della potenza del segnale wifi sul mio telefono l'ho rintracciata sul Chromecast ( che era una capitalizzazione alternativa del mio SSID wifi ), e c'era molto sollievo.

MODIFICARE:. È importante notare che il Chromecast ha solo bisogno di energia (non "internet") per ospitare il proprio wifi, si collegherà sia a un wifi che ospitando il proprio. Puoi connetterti a questo, ma non fa nulla a meno che tu non lo stia configurando tramite l'app

Cireo
fonte
3
Sì, possiedo un Chromecast. Ma l'indirizzo MAC viene aggiunto al router originale e non funzionerebbe anche quando ho scollegato il router quella notte.
K. Scegli l'
Aggiungerò che anche il mio Chromecast si chiama SantoRican ma dato che non era collegato a Internet il Wifi era inattivo, non era in linea. Il ragazzo del cavo lo ha verificato quando è venuto a riparare il wifi ma ha detto che non era ciò che stava causando il problema. (ma non sai mai che potrebbe sbagliarsi)
K. Scegli l'
1
@ K.Pick Chromecast può fungere da host, quindi puoi connetterti ad esso con il tuo telefono e configurarlo.
emesso il
2
Questa sembra essere la risposta più probabile. Le persone subdole potrebbero usare altri modi più interessanti e meno ovvi. La "capitalizzazione alternativa" dovrebbe essere in grassetto in quanto questo è l'indizio più ovvio a mio avviso.
KalleMP,
21
@ K.Pick: non iniziare a indovinare come è elencato il Chromecast nel tuo router. Scollega semplicemente il Chromecast e controlla se l'SSID è ancora lì.
Yankee,
14

Bene, sembra che tu stia prendendo sul serio la sicurezza. È possibile che qualcuno stia cercando di ingannare le persone che si uniscono all'altra rete. Il modo migliore per iniziare a guardare questo sarebbe cambiare il tuo SSID in qualcosa di diverso - e anche abbastanza specifico, ad esempio una parola con alcune cifre che sostituiscono le lettere e vedere se quel SSID cambia in simile al tuo - forse il tuo sarà st0pthise il loro StopThis. Se si registra in anticipo il proprio indirizzo MAC SSID per vedere se l'altro SSID è cambiato, si può essere ancora più sospetti.

Un buon modo su Linux per vedere gli indirizzi MAC è iwlist YourInterfaceName scanning | egrep 'Cell |Encryption|Quality|Last beacon|ESSID'E 'ovviamente possibile e in effetti monitorare la propria rete per modifiche e attività sospette, nonché mantenere aggiornate le macchine.

r0berts
fonte
2
@ r0berts Dovrebbe implicare la scelta con una forte raccomandazione.
wizzwizz4,
Capisco. Ma in media direi che le persone non sanno come monitorare le proprie reti, quindi inutile farle sentire in colpa per questo. Ma punto preso)
r0berts
1
Anche solo mantenere aggiornato il sistema con le patch e avere un po 'di igiene del computer di base (blocco dei firewall predefiniti, antivirus aggiornato) farà molto per garantire che il sistema sia sicuro. Sfortunatamente, questo è il minimo indispensabile oggi per qualsiasi sistema connesso a Internet. I giorni in cui potevi semplicemente collegare qualsiasi sistema casuale a Internet senza precauzioni da tempo sono andati via ...
un CVn del
Sono totalmente d'accordo. Sarebbe bello se la complessità del monitoraggio della tua rete potesse essere ridotta, ciò richiede ancora un enorme investimento di tempo per apprenderlo per la tua LAN domestica.
r0berts,
11

Trucco semplice,

Cambia il tuo SSID e nascondilo per vedere cosa succede. Se copiano di nuovo il tuo SSID, sai che sei nei guai.

Modalità estrema

Modificare l'intervallo di rete DHCP locale in qualcosa che non viene utilizzato sulla rete aperta

Configurare un IP statico, se possibile, in modo che il PC non possa utilizzare il WiFi aperto

Configura le tue impostazioni WiFi sul tuo PC per non usare hotspot WiFi aperti

Cambia la tua password WiFi in qualcosa del genere: HSAEz2ukki3ke2gu12WNuSDdDRxR3e

Cambia la password dell'amministratore sul router solo per essere sicuro. E infine usa un client VPN su tutti i tuoi dispositivi (anche i telefoni)

Si utilizza il filtro MAC e questa è una buona funzionalità di sicurezza di basso livello. Infine, utilizza firewall di terze parti e software AV e imposta le impostazioni in modo fastidiosamente sicuro, quindi devi approvare quasi ogni azione che deve fare qualcosa con l'attività di Internet o della rete.

Una volta che ti sarai abituato a queste cose, sarà più facile da mantenere e il tuo firewall si rilasserà perché apprende dalle tue azioni.

Tienici aggiornati! :)

MR_Miyati
fonte
10

Sì, questo è esattamente quello che pensi: qualcuno sta cercando di ingannarti per unirti alla sua rete per errore. Non collegarti ad esso. Se ti rendi conto di averlo appena fatto, esegui una scansione antivirus e rimuovi tutti i dati che hai scaricato in quanto non affidabili. Se ti è capitato di inviare anche dati sensibili come una password tramite questa connessione non autorizzata, modificalo immediatamente.

Se questo punto di accesso non scompare dopo un po ', ti suggerisco di fare uno sforzo ragionevole per fermarlo (come chiedere ai tuoi vicini di fermarlo o dire ai loro figli di smettere). Un dispositivo in grado di mostrare la potenza del segnale WiFi, come un cellulare, dovrebbe consentire di rintracciare con precisione la posizione di questo punto di accesso.

Dmitry Grigoryev
fonte
L'app che consiglierei per rintracciarla inssider. È stato creato dalle persone meravigliose di Metageek.
Rowan Hawkins,
9

Molte volte le persone con problemi di sicurezza sono solo paranoiche. In questo caso, hai un motivo legittimo di preoccupazione.

Non concludere la malvagità al 100%, potrebbe essere un vicino esperto IT che cerca di scherzare, diciamo reindirizzando le richieste del sito Web a un sito di scherzo. O qualcuno che ha cercato di creare la propria rete e ha appena imitato la tua (ma sono propenso a dubitare che, al giorno d'oggi, qualsiasi router avrà un requisito di password per impostazione predefinita). Ma in sostanza, la persona sarebbe in grado di vedere molto del tuo traffico, quali siti web visiti, cosa invii e ricevi, oltre a ciò che è crittografato (e molto non è crittografato). Questo potrebbe essere per ricatto, spionaggio, stalking. D'altra parte, non è super sofisticato e abbastanza facile da scoprire, quindi chi lo sa.

Ancora più importante, questo non è un generico attacco globale di massa da parte di hacker stranieri, significa che un punto di accesso fisico si trova vicino o nella tua casa. Se fossi in te, lo farei senzaavvisali, ma prova a trovarlo. Se si dispone di una scatola dei fusibili, spegnere un corso alla volta e attendere cinque minuti e vedere se il punto di accesso scompare. Questo ti dirà se è qualcosa in casa tua. Altrimenti puoi usare la triangolazione, la potenza del segnale con il GPS logger sul tuo telefono e fare una passeggiata nel quartiere, oppure un Pringles può scoprire all'incirca dove si trova. Potresti trovare un vecchio ex con un coltello, una scatola sepolta o i bambini nerd di un vicino. Se si preoccupano abbastanza per farlo, potrebbero anche avere un bug audio. Prima rintraccia generalmente dove si trova, e se è dentro la casa di qualcuno, allora potresti voler chiamare una guardia del corpo dal lavoro e andare a bussare alle porte.

peso
fonte
2
Anch'io penso che sarebbe interessante scoprire la posizione della rete prima che venga spenta. La risposta Chromecast sopra potrebbe essere la spiegazione benigna.
KalleMP,
Lo ssid è scomparso la mattina in cui la compagnia di Internet è arrivata a riparare la rete, quindi credo che se fosse qualcuno nelle vicinanze avrebbero potuto vedere il camion e tirarlo giù.
K. Scegli il
2

Le altre risposte finora ti danno abbastanza da fare per questa situazione concreta.

Tuttavia, va notato che hai notato una situazione che potrebbe essere un tentativo di invadere i tuoi dati privati. Ci sono altre situazioni in cui questo tipo di attacco è meno rilevabile. Ad esempio, se il tuo vicino di casa conosce la tua password Wifi, che avresti potuto dire loro quando le hanno gentilmente chiesto, perché erano nuovi in ​​casa e il loro uplink non era ancora pronto. Ma la cosa peggiore di tutte: se stai utilizzando un Wifi non crittografato (o uno in cui la password è comunemente nota) come Hotel o Airport Wifi, questi attacchi saranno molto difficili da rilevare, perché l'attaccante può impostare il wifi con ESATTAMENTE lo stesso impostazioni (stessa password e stesso SSID) e i tuoi dispositivi si collegheranno automaticamente al segnale più forte e non ti diranno mai che ha fatto una scelta.

L'unica opzione per rimanere effettivamente al sicuro è crittografare TUTTO il tuo traffico. Non inserire mai la password, l'indirizzo e-mail, il numero della carta di credito o qualsiasi altra informazione su un sito Web non crittografato con SSL / TLS. Considera i download da siti Web non crittografati come compromessi (il malware avrebbe potuto essere iniettato). Prima di inserire / scaricare dati su un sito Web crittografato, verificare di trovarsi nel dominio corretto (google.com, non giigle.com. SSL non sarà di aiuto se ci si trova in un dominio con cui non si desidera parlare). Installa HTTPS-Everywhereo simili Ricorda inoltre che esistono altri servizi oltre al tuo browser web che potrebbero trasmettere dati, come un client di posta elettronica IMAP. Assicurarsi che funzioni anche su connessioni crittografate. Al giorno d'oggi, non c'è quasi alcun motivo per non crittografare tutto il traffico, tuttavia alcuni sviluppatori sono solo pigri, ecc. Se è necessario utilizzare un'applicazione che non supporta SSL o una misura di sicurezza simile, utilizzare una VPN. Tieni presente che il provider VPN sarà comunque in grado di leggere tutto il tuo traffico che non è crittografato oltre alla crittografia fornita dalla VPN.

yankee
fonte
1

SE è un tentativo di hacking, viene messo in atto da qualcuno che è ignorante. Ogni SSID può essere protetto da una password di qualche tipo e con un qualche tipo di forza crittografica.

Semplicemente avere un altro punto di accesso configurato con lo stesso nome di un punto di accesso vicino è la stessa cosa di questo:

Mi chiamo Steve Smith e mi sono appena trasferito in una casa. E come è vero, il mio vicino di casa si chiama Steve Smith. Ma solo perché io e il mio vicino abbiamo lo stesso nome, non significa che la chiave della mia porta d'ingresso funzionerà sulla sua porta principale ... Né significa che la mia chiave della porta si reincorterà magicamente in modo che funzioni anche alla sua porta ...

e QUESTO è quanto sia sciocco in termini di guardare questo da un possibile scenario di hacking ...

Le tue risposte:

1) È uno stratagemma per l'hacking?

 - Maybe, but it won't work.

2) Stanno cercando di usare questo per infiltrarsi nella mia rete - dato che ho chiuso il mio solo per indirizzi MAC approvati - pensando di scivolare e unirmi alla loro rete?

 - They might be, but it doesn't matter, since it won't work.
Michael Sims
fonte
1
Si prega gentilmente di fornire una soluzione
all'OP
0

La risposta è abbastanza semplice,
SE non è la tua, che puoi controllare disabilitando il Chromecast e il tuo router (assicurati anche che gli altri AP siano disabilitati).

Se persiste ancora, è molto probabile che tenti di monitorare il tuo traffico, nella maggior parte dei casi non può causare alcun danno, tranne se usi molti siti non crittografati (HTTP) invece di quelli crittografati (HTTPS).

Se usi HTTP, tutto ciò che invii verrà inviato come testo normale, nel senso che se la tua password è "123abc" saranno in grado di vedere anche "123abc".

Un programma in grado di minare il tuo traffico è ad esempio WireShark.

Marnix Mulder
fonte
0

Se fosse uno stratagemma di hacking, l'SSID di rete sarebbe esattamente uguale al tuo e aperto - in modo da collegarti automaticamente (se avessero un segnale più forte) e non te ne accorgeresti.

Lo faccio spesso ai miei vicini nei fine settimana quando stanno giocando a YouTube sul loro laptop o telefono dopo l'1: fondamentalmente clonano la loro rete (è consentito un solo SSID unico) e inserisco una password - li interrompe quando si spengono dal segnale e ritornano dentro e non l'hanno mai capito. Pensano solo che il WiFi sia di nuovo rotto.

Se lo lasciassi aperto, nessuna password - si collegherebbero e sarei in grado di eseguire un reindirizzamento DNS o un man in the middle attack e monitorare la loro attività di rete o altre cose che potrebbero essere considerate illegali - sicuro che potrebbero toccare il mio IP router e vedere i dispositivi collegati, ma non succede.

Come analista della sicurezza, considererei che un ID di rete come "bestfriend" ha semplicemente creato un nuovo "BestFriend".

Se fosse un vero stratagemma di hacking - sarebbe lo stesso SSID e la stessa rete aperta e probabilmente non lo noteresti quando ti riconnetti al WiFi, poiché probabilmente c'è autoconnect per nominare.

È un trucco molto vecchio - porta un laptop in un coffeeshop e reindirizza DNS da un dongle wireless al loro sito di accesso - attira il traffico delle persone.

Uno dei motivi per cui i lettori di schede spesso lavorano al di fuori del WiFi e sono in linea con la banca - è troppo facile per MiM una rete Starbuck e altri pochi secondi per guardare la cache delle immagini di ogni dispositivo - anche gli hotel che usano ripetitori per WiFi esteso.

Esp. negli Stati Uniti, dove alcuni hotel non hanno nemmeno una password e sono molto alti. Annusa in pochi secondi e persino accedi alle macchine della scrivania principale o al backoffice da un telefono, a volte.

(Ho avuto nomi di rete come "Ti ho visto nudo" e qualcuno ha cambiato il loro in "anch'io" e "Non voglio vederti nudo". O ha inviato messaggi, ad esempio "turni di lavoro", così i vicini sanno che va bene festeggiare tutta la notte, ma per favore non svegliarmi bussando alla porta per una chat perché dormirò alle 0800).

Qualcuno
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.