Question SSID avec un nom très similaire, est-ce une tentative de piratage?


J'ai remarqué qu'un autre SSID apparaît dans mon WiFi avec le même nom que le mien (tout à fait personnel, donc je ne pouvais que le copier intentionnellement) mais quelques lettres sont en majuscules. Leur version n'a pas de sécurité. Le mien a WPA-PSK2. Je l'ai testé pour être sûr en débranchant mon routeur et pendant que le mien a disparu après un certain temps, le leur est resté.

Est-ce un stratagème au piratage? Est-ce qu'ils essaient d'utiliser ceci pour infiltrer mon réseau - puisque j'ai fermé le mien uniquement aux adresses MAC approuvées - pensant que je vais me glisser et rejoindre leur réseau?

Exemple:

  • Mon SSID: bestfriend
  • Leur SSID: BestFriend (avec capital B & F)

140
2018-06-08 07:18


origine


plus de gens devraient prendre la sécurité au sérieux. C'est possible, s'il s'agit d'une attaque ciblée, nous appelons ces points d'accès non autorisés, où vous imitez le nom de quelqu'un d'autre et voyez si les clients s'y connectent. Mais nous aurons besoin de plus d'informations, quel est exactement le nom de votre réseau (ESSID) et combien de personnes l'utilisent? Ce réseau personnel est-il? Qui d'autre connaît ce réseau? Est-ce que votre petite amie a un ex qui veut se remettre avec elle? vous avez l'idée ... certains détails seraient bons. - Nalaurien
... peut-être vous demandent-ils simplement de changer la capitalisation de votre SSID pour un "plus correct" car cela les dérange quand ils le voient sur leur liste de réseaux disponibles? Je peux m'imaginer faire ça ... "Ne jamais attribuer à la malveillance ce qui est expliqué de manière adéquate par l'extrême piqûre" (?) - xDaizu
Connectez-vous au réseau avec une machine jetable et essayez d'analyser tout le sous-réseau avec nmap pour voir ce qu'ils font. - André Borie
Pourrait juste être un hasard. Vous serez étonné de la popularité de certains SSID (par exemple, les variantes de "FBI Surveillance Van"). - Mark
marchez prudemment et n'ignorez pas les erreurs SSL / TLS! - n00b


Réponses:


Oui, il s'agit probablement d'un stratagème de piratage, même si c'est une hypothèse.

Je tiens à souligner que le verrouillage de votre routeur à des adresses MAC spécifiques peut fournir un peu de sécurité, mais pas beaucoup.

Il est également peu probable que leurs actions soient conçues pour pirater votre réseau - elles sont plus susceptibles de tenter de capturer votre trafic.

Si c’était moi, je les exploiterais - je trouverais un VPN bon marché et du matériel dédié (PC bas de gamme, gros disque dur), connectez-le au VPN et à leur réseau et perdez le contrôle. Comme vous utilisez un VPN, ils ne pourront pas intercepter votre trafic, mais vous pourrez consommer toute leur bande passante jusqu'à leur réveil. (Et vous avez un déni plausible "Hé, je pensais que j'étais connecté à mon point d'accès - J'ai utilisé le SSID de mon appareil)

Quelques autres choses à réfléchir - Il est concevable que ces deux points d'accès soient en réalité les vôtres - l'un dans la bande de 2,4 Go, l'autre dans la bande de 5 Go, et la bande de 5 Go n'est tout simplement pas chiffrée. Vérifiez la configuration de votre routeur pour l'exclure et / ou une sorte d'analyse Wifi (il y en a quelques-unes disponibles sur le Play Store pour Android) pour vous aider à déterminer d'où proviennent les signaux en examinant la force du signal.

Attention aux paquets de dés-auth. S'ils essaient de pirater vos systèmes, cela ne me surprendrait pas s'ils essaient d'envoyer des paquets de suppression automatique pour interférer avec vos connexions afin d'augmenter les chances que quelqu'un sur votre réseau essaie de s'y connecter.


130
2018-06-08 08:10



Il mentionne qu'il débranche le routeur et que l'autre réseau reste, cela exclut sa bande 5gig. - LPChip
Comment est-ce déni plausible? Vous perdiez de la bande passante sur un ordinateur bon marché que vous avez acheté sur un VPN que vous n’utilisez normalement jamais. Essayez-vous de mentir à un enfant de 5 ans ou à un juge? - Mehrdad
@ Mehrdad Un déni plausible existe, car votre voisin essayait de vous piéger pour vous connecter à son point d'accès - et vous avez craqué pour cela. Mon voisin se comporte comme un pirate informatique, il est donc tout à fait raisonnable d’obtenir un VPN pour me protéger. (De plus, je n’ai pas besoin de mentir à un juge, l’autre partie est celle qui fait la réclamation - mon avocat pourrait simplement semer les graines du doute). Je suis curieux de savoir ce que pensent de meilleurs esprits juridiques, alors j'ai posé ceci à une question à law.se (law.stackexchange.com/questions/19482/...) - davidgo
@ Mehrdad Si je vais mentir sur le piratage réseau, je prendrais mes chances sur un juge avant un enfant de cinq ans! - Auspex
Indépendamment du "déni plausible", je trouve contraire à l'éthique de préconiser un tel comportement, d'autant plus que, selon la juridiction, il peut être tout à fait légal de se connecter à un point d'accès ouvert. - StockB


Il me semble que c'est quelque chose qui s'appelle "Jumeau maléfique".

Fondamentalement, l'attaquant crée un réseau qui imite le vôtre afin que vous (ou votre ordinateur tout seul) vous y connectiez. Il y parvient en envoyant, comme l’a dit davidgo, des paquets de désautorisation à votre routeur, ce qui vous oblige à vous reconnecter. En changeant l'adresse MAC de son propre routeur sur celle du votre, votre ordinateur se connecte automatiquement au réseau des attaquants (étant donné que son signal est plus fort). Cela permet à l'attaquant de vous nuire davantage par les attaques Man-In-The-Middle ou un faux DNS qui redirige les sites Web courants vers les sites d'hameçonnage.

Maintenant, vous pouvez faire un peu de science ici et essayer de prouver qu'il s'agit bien d'un attaquant avec de mauvaises intentions et de le signaler, ou simplement profiter du "trafic gratuit". lorsque vous ne faites pas attention en remplissant des formulaires.


56
2018-06-08 09:42



Normalement, un Evil Twin correspond exactement au SSID. Je pense qu'en capitalisant certaines lettres, ils essaient de faire des victimes potentielles de l'ingénieur social et de faire ressembler le SSID non capitalisé au mauvais clone. "Regardez ce clone non capitalisé! Il fait un mauvais travail pour que je clique dessus. Evidemment, je devrais cliquer sur celui en majuscule qui semble plus officiel avec un peu de réflexion pour le nommer." - Corey Ogburn
Pourquoi l'attaquant s'embêterait-il avec un SSID (suspect) s'il pouvait connecter automatiquement votre appareil à son routeur en usurpant l'adresse MAC? - JimmyB
@JimmyB Probablement parce que l'attaquant ne peut pas gérer la condition "étant donné que son signal est plus fort". Donc, plutôt que de choisir l'ordinateur qui ne coopère pas, ils choisissent l'homme inattentif. - Kevin Fee
Si le mécanisme d'authentification de sécurité n'est pas exactement le même que celui du réseau sans fil d'origine, l'ordinateur ne se connecte pas au faux réseau, même si le signal est plus fort. - pHeoz
@JimmyB Une fois qu'un périphérique se connecte à votre faux SSID, vous n'avez pas besoin d'usurper d'adresse MAC. Dans une attaque Evil Twin, vous tentez d'attirer la victime sur votre réseau sans fil en lui donnant le même SSID et en interférant avec les clients qui se connectent au réel (en perturbant le signal ou - plus souvent - en les obligeant à se désauthentifier du réel. AP). La plupart des gens ne choisissent pas manuellement un SSID, car leur appareil est déjà connecté au SSID de leur réseau domestique. Ce n'est que lorsque vous avez un nouvel appareil que vous parcourez la liste des réseaux disponibles, ce qui vous rend vulnérable. - GroundZero


J'ai rencontré un "problème" similaire au début de l'année en déboguant des problèmes de connectivité sans fil.

Ma suggestion est une question: possédez-vous un chromecast?

Les problèmes de connectivité ont été entièrement causés par le fournisseur de services, mais j'étais vraiment bloqué sur ce SSID. En utilisant une application d’analyseur de force du signal wifi sur mon téléphone, je l’ai retracée jusqu'au chromecast (qui était une capitalisation alternative de mon wifi SSID), et il y avait beaucoup de soulagement.

MODIFIER:. Il est important de noter que le Chromecast a uniquement besoin d’électricité (et non d’internet) pour héberger son propre wifi, il se connectera à la fois au wifi et à l’hébergement de son propre wifi. Vous pouvez vous connecter à cela mais il ne fait rien sauf si vous le configurez via l'application


43
2018-06-09 19:04



Oui, je possède un Chromecast. Mais l'adresse MAC est ajoutée dans le routeur d'origine et ne fonctionnerait pas non plus lorsque je débrancherais le routeur cette nuit-là. - K. Pick
J'ajouterai que mon Chromecast s'appelle également SantoRican mais comme il n'était pas connecté à Internet, le Wifi était hors ligne. Le câblodistributeur l'a vérifié quand il est venu réparer le wifi mais a dit que ce n'était pas ce qui causait le problème. (mais vous ne savez jamais qu'il pourrait se tromper) - K. Pick
@ K.Pick Chromecast peut agir comme hôte, vous pouvez donc vous y connecter avec votre téléphone et le configurer. - emed
Cela semble être la réponse la plus probable. Les personnes sournoises pourraient utiliser d'autres moyens plus intéressants et moins évidents. le "capitalisation alternative" devrait être en gras car c'est l'indice le plus évident à mon avis. - KalleMP
@ K.Pick: Ne commencez pas à deviner comment le chromecast est répertorié dans votre routeur. Débranchez simplement le chromecast et vérifiez si le SSID est toujours là. - yankee


Eh bien, vous semblez prendre la sécurité très au sérieux. Il est possible que quelqu'un essaie de tromper les gens qui rejoignent l’autre réseau. La meilleure façon de commencer à regarder cela serait de changer votre SSID en quelque chose de différent - et aussi très spécifique, par exemple un mot avec quelques chiffres remplaçant les lettres et voir si le SSID devient semblable au vôtre - peut-être que vous serez st0pthis et les leurs StopThis. Si vous enregistrez au préalable leur adresse MAC SSID pour voir si l’autre SSID a changé, vous pouvez être encore plus méfiant.

Un bon moyen sur Linux pour voir les adresses MAC est iwlist YourInterfaceName scanning | egrep 'Cell |Encryption|Quality|Last beacon|ESSID' Et bien sûr, vous pouvez et devez en effet surveiller votre réseau à la recherche de modifications et d’activités suspectes tout en maintenant vos machines à jour.


14
2018-06-08 07:48



@ r0berts Should implique le choix avec une recommandation forte. - wizzwizz4
Je comprends. Mais en moyenne, je dirais que les gens ne savent pas comment surveiller leurs réseaux, donc il est inutile de les culpabiliser. Mais point pris) - r0berts
Garder votre système à jour avec les correctifs et avoir une hygiène informatique élémentaire (pare-feu par défaut, antivirus à jour) très long chemin pour vous assurer que votre système est sécurisé. Malheureusement, c'est le strict minimum requis aujourd'hui pour tout système connecté à Internet. Les jours où vous pouviez simplement connecter n'importe quel système à Internet sans aucune précaution, il y a longtemps ... - Michael Kjörling
Je suis totalement d'accord avec ça. Ce serait formidable si la complexité de la surveillance de votre réseau pouvait être réduite, cela nécessite un investissement de temps considérable pour apprendre cela sur votre réseau local domestique. - r0berts


Astuce simple,

Changez votre SSID et cachez-le pour voir ce qui se passe. S'ils recopient votre SSID, alors vous savez que vous avez des problèmes.

Mode extrême

Modifier votre plage de réseau DHCP local à quelque chose qui n'est pas utilisé sur le réseau ouvert

Configurez une adresse IP statique si possible afin que votre PC ne puisse pas utiliser le WiFi ouvert

Configurez vos paramètres WiFi sur votre PC pour ne pas utiliser les hotspots WiFi ouverts

Changez votre mot de passe WiFi en quelque chose comme ceci: HSAEz2ukki3ke2gu12WNuSDdDRxR3e

Changez votre mot de passe administrateur sur votre routeur pour vous en assurer. Et enfin, utilisez un client VPN sur tous vos appareils (y compris les téléphones)

Vous utilisez le filtrage MAC et c'est une bonne fonctionnalité de sécurité de bas niveau. Enfin, utilisez un pare-feu et un logiciel AV tiers et configurez les paramètres de manière à ce qu'ils soient sécurisés. Vous devez donc approuver presque toutes les actions liées à l'activité Internet ou réseau.

Une fois que vous vous serez habitué à ces choses, il sera plus facile à maintenir et votre pare-feu se détendra car il apprend de vos actions.

Tenez-nous au courant! :)


11
2018-06-09 07:02





Oui, c'est exactement ce que vous pensez: quelqu'un essaie de vous tromper pour rejoindre son réseau par erreur. Ne vous y connectez pas. Si vous réalisez que vous venez de le faire, lancez une analyse antivirus et supprimez toutes les données que vous avez téléchargées car elles ne peuvent pas être approuvées. Si vous avez également envoyé des données sensibles comme un mot de passe sur cette connexion malveillante, changez-la immédiatement.

Si ce point d'accès ne disparaît pas au bout d'un moment, je vous suggère de faire un effort raisonnable pour l'arrêter (par exemple, demander à vos voisins de l'arrêter ou de dire à leurs enfants de s'arrêter). Un appareil capable de montrer la puissance du signal WiFi, comme un téléphone portable, devrait vous permettre de localiser avec précision l’emplacement de ce point d’accès.


10
2018-06-08 13:00



L'application que je recommanderais pour le suivre Il est créé par les gens merveilleux de metageek. - Rowan Hawkins


Souvent, les personnes ayant des problèmes de sécurité ne sont que paranoïaques. Dans ce cas, vous avez un motif de préoccupation très légitime.

Ne concluez pas la malveillance à 100%, il pourrait Soyez un voisin averti qui essaie de vous faire des blagues, disons en redirigeant les requêtes du site vers un site de blague. Ou quelqu'un qui a essayé de créer son propre réseau et qui a juste imité le vôtre (mais je suis enclin à en douter, tout routeur aura de nos jours un mot de passe par défaut). Mais au fond, la personne pourrait voir beaucoup de votre trafic, quels sites Web vous visitez, ce que vous envoyez et recevez, en dehors de ce qui est crypté (et que beaucoup ne sont pas cryptés). Cela pourrait être pour le chantage, l'espionnage, le harcèlement criminel. Par contre, ce n'est pas super sophistiqué et assez facile à découvrir, alors qui sait.

Plus important encore, il ne s’agit pas d’une attaque générique de masse de la part de pirates informatiques étrangers, cela signifie qu’un point d’accès physique se trouve à proximité ou dans votre maison. Si j'étais toi, je le ferais ne pas alertez-les, mais essayez de le trouver. Si vous avez une boîte à fusibles, éteignez un cours à la fois et attendez cinq minutes pour voir si le point d'accès disparaît. Cela vous dira si c'est quelque chose dans votre maison. Sinon, vous pouvez utiliser la triangulation, la puissance du signal avec un enregistreur GPS sur votre téléphone et faire une promenade dans le quartier, ou une boîte Pringles pour savoir à peu près où elle se trouve. Vous pourriez trouver un ancien ex avec un couteau, une boîte enterrée ou les enfants ringards d'un voisin. S'ils le font suffisamment, ils peuvent également avoir un bug audio. Tout d'abord, localisez généralement l'endroit où vous vous trouvez, et si c'est à l'intérieur de la maison de quelqu'un, alors vous voudrez peut-être appeler un garde du corps au travail et aller frapper aux portes.


9
2018-06-10 07:22



Je pense aussi qu’il serait intéressant de connaître l’emplacement du réseau avant de le désactiver. La réponse Chromecast ci-dessus peut être l'explication bénigne cependant. - KalleMP
Le ssid a disparu le matin où la compagnie Internet est venue réparer le filet, donc je pense que si c'était quelqu'un à proximité, ils ont peut-être vu le camion et l'ont tiré vers le bas. - K. Pick