La conectividad móvil sumada a las limitaciones en cuanto a datos de las tarifas, provocan que las conexiones a los punto de acceso Wi-Fi sean una constante para un inmenso porcentaje de usuarios. Pero cómo podemos saber si nos estamos conectando a un punto de acceso seguro? De esto se aprovecha el ataque informático del que os venimos a hablar, el Evil Twin.
Evil Twin
El ataque de Evil Twin es aquel en que un ciberdelincuente pone en funcionamiento una red Wi-Fi que parece ser legítima pero que en realidad tiene el objetivo de robar datos de las víctimas, realizar ataques Man in the middle, etc.. ya que todo nuestro tráfico pasa a través del equipo del atacante y especialmente, si este no está cifrado puede ser fácilmente utilizado. Esto se puede llevar a cabo muy fácilmente creando una red Wi-Fi con el mismo SSID que el punto de acceso legítimo, el atacante puede también utilizar la misma dirección MAC para que sea más complicada su identificación e incluso evitar nuestra conexión con el punto de acceso legítimo para que nos conectemos al falso.
Una vez puesta en marcha el evil twin, simplemente se necesitan víctimas, esto se puede conseguir simplemente ofreciendo una mejor señal que la red original por lo que los dispositivos de las víctimas se conectarán al punto de acceso falso o también atacando el punto de acceso original con un ataque de denegación de servicio o enviando ingentes cantidades de paquetes de desautenticación para que todos los clientes busquen de nuevo red para conectarse.
Otro uso muy común de estos falsos Wi-Fi es el de redireccionar peticiones de la víctima a portales cautivos o a webs falsas a través de un DNS spoofing y de esta manera obtener credenciales a diferentes servicios. Por experiencia la mayoría de los usuarios son proclives a introducir credenciales sin demasiada preocupación por lo que incluso un portal sencillo puede fácilmente obtener casi cualquier tipo de credenciales.
Como vimos en el anterior post de ataques informáticos, posteriormente podría suceder un ataque de relleno de contraseñas y en cuestión de segundos tener varios de nuestros servicios comprometidos o revendidos. Una vez obtenidas las credenciales el punto de acceso malicioso puede activamente desconectarnos de la red para limitar nuestra reacción.
Este es un ataque para el que existen herramientas, como airgeddon que permiten generarlo de manera muy rápida, sencilla y que incluso nos proporcionan de manera automática el portal falso para redireccionar a las víctimas del ataque.
Prevención del ataque
- Evitar conectarnos a puntos de acceso públicos sobre los cuales no tenemos control alguno
- Utilizar 2FA para todas nuestras cuentas siempre que sea posible
- Desconfiar siempre, aprender a identificar intentos de phishing, URLs falsas..
- Evitar salvar redes Wi-Fi en nuestro dispositivo o almenos configurar que no se conecte automaticamente, esto evitará que nos conectemos inadvertidamente
- En el caso que tengamos que conectarnos a estas redes, hacerlo solo contra sitios HTTPs y tratar de utilizar VPNs para que nuestro tráfico se encripte antes de abandonar nuestro dispositivo.
- Si somos los responsables de la infraestructura Wi-Fi, habilitar la detección de AP falsos (rogue)