小心邪惡雙胞胎! 駭客僞造機場公共Wi-Fi竊取乘客資訊

正所謂免費的最貴!近日,駭客利用同機場免費Wi-Fi同名的無線基地台熱點去誘導乘客連接,再用「Evil Twin」攻擊形式盗取連接Wi-Fi的乘客的個人資料。因這事件發生後,再度引起眾多人對網絡安全的關注!

什麼是邪惡雙胞胎攻擊(Evil Twin Attack)?

邪惡雙胞胎攻擊(Evil Twin Attack)是一種無線網路攻擊,惡意行為者會設定模仿合法網路的惡意Wi-Fi 熱點。「邪惡雙胞胎」一詞用於描述假無線熱點,它看起來是合法且可信的網路,通常具有與真實網路非常相似的名稱(SSID)和設定。

以下是邪惡雙胞胎攻擊的典型運作方式:(如下圖所示)

圖:邪惡雙胞胎攻擊示意圖

  1. 攻擊者創建一個惡意Wi-Fi熱點,其名稱 (SSID) 和設定與一般使用可能連接的合法公共網路相同或非常相似,例如咖啡館、飯店或餐廳的公共Wi-Fi熱點。
  2. 附近毫無戒心的使用者可能會看到假網路並嘗試連接,認為是合法的網路。特別是惡意接入點訊號很強。
  3. 一旦連接到邪惡雙胞胎網路,攻擊者就可以攔截並監控通過該連接的流量。這可能包括捕獲敏感資料,例如登入憑證、財務資料或透過網路傳輸的任何資訊。
  4. 攻擊者還可以對連接的裝置發動各種類型的攻擊,例如進行中間人攻擊(Man-in-the-middle attack, MITM)、向網頁注入惡意程式碼或內容以及傳播惡意軟體。

邪惡雙胞胎攻擊是社交工程的一種形式,因為依賴誘騙使用者連接到流氓網路。為了防止此類攻擊,使用者在連接公共Wi-Fi網路時應謹慎行事,避免連接安全性較弱或來源不明的網路,並使用虛擬專用網路 (VPN) 加密其網際網路流量。此外,網路管理員可以實施安全措施來偵測和防止邪惡雙胞胎攻擊,例如無線入侵偵測系統(WIDS)和強化加密協定。

邪惡雙胞胎攻擊如何進行?

邪惡雙胞胎攻擊透過創建一個模仿合法網路的惡意無線熱點來欺騙使用者連接到該網路。以下是邪惡雙胞胎攻擊是如何運作的詳細說明:

  • 掃描目標網路:攻擊者首先掃描可以模擬的目標網路。包括公共 Wi-Fi網路、企業網路或攻擊者希望利用的任何其他網路。
  • 建立惡意無線網路熱點:攻擊者使用專門的工具或軟體,設定一個具有與目標網路非常相似的SSID(網路名稱)和配置的惡意Wi-Fi 熱點。可能會選擇與合法網路相似或相同的SSID,以使其更有說服力。
  • 廣播惡意無線網路熱點:攻擊者通常使用高功率Wi-Fi廣播惡意無線網路熱點,以確保其訊號較強且讓潛在受害者容易看見。
  • 欺騙使用者:當附近的使用者搜尋可用的Wi-Fi網路時,可能會看到惡意網路熱點,且嘗試連接的合法網路。因為惡意網路熱點的名稱和設定與真實網路極為相似或相同。
  • 連接到惡意無線網路熱點:毫無戒心的使用者認為正在連接到合法網路,從而誤連接到惡意接入點。連接後,其網路流量正在通過攻擊者的網路熱點。
  • 攔截和利用流量:攻擊者可以攔截、監控並操縱通過其惡意熱點的流量。包括捕獲敏感資訊,例如登入憑證、財務資料或透過網路傳輸的其他資料。
  • 發動攻擊:除了攔截資料外,攻擊者還可以對連接的裝置發動各種攻擊,包括中間人(MITM)攻擊、向網頁注入惡意內容、傳播惡意軟體等。

為了防止邪惡雙胞胎攻擊,使用者在連接公共Wi-Fi網路時應小心謹慎,驗證所連接網路的真實性,並使用VPN等安全措施來加密其流量。網路管理員應實施無線入侵偵測系統 (WIDS)、強大的加密協定和定期網路監控等安全措施來偵測和防止此類攻擊。

如何防止邪惡雙胞胎的攻擊?

防止邪惡雙胞胎攻擊需要個人使用者和網路管理員結合使用安全最佳策略。以下是一些有助於預防或減輕邪惡雙胞胎攻擊風險的步驟:

對於個人使用者:

  • 驗證網路詳細資訊:在連接到Wi-Fi網路之前,尤其是公共場所,透過可信任來源驗證網路名稱 (SSID)和設定。
  • 使用虛擬私有網路 (VPN):VPN 會加密網路流量,使攻擊者更難以攔截或監控網路流量。即使不小心連接到惡意熱點,資料因加密可確保其安全性。
  • 忘記不需要的網路:定期清除裝置中儲存的 Wi-Fi 網路列表,以免它自動連接到您過去使用過的網路。這可以防止您的裝置連接到先前信任的惡意網路。
  • 關閉自動 Wi-Fi 連線:停用裝置上的「自動連線」功能,這樣未經您的許可,它就不會自動連線到開放或已知的網路。
  • 啟用雙重認證 (2FA):盡可能為您的線上帳戶啟用 2FA。即使攻擊者在邪惡孿生攻擊中捕獲了您的憑證,如果沒有第二個身份驗證因素,他們也將無法存取您的帳戶。

對於網路管理員:

  • 使用強加密:使用WPA3(Wi-Fi Protected Access 3)(Wi-Fi保護存取3)或具有強預共享金鑰模式(pre-shared key ,PSK)的 WPA2來加密Wi-Fi流量。這可使得攻擊者更難竊聽網路。
  • 使用企業等級安全性:在企業或商業環境中,使用WPA2-Enterprise 或WPA3-Enterprise,使用更安全的驗證方法,例如具有RADIUS的802.1X。
  • 對網路進行分段:將訪客網路與內部網路隔離,以減少攻擊的潛在影響。確保訪客網路無法存取組織內部網路。
  • 監控惡意網路熱點:部署無線入侵偵測系統 (WIDS) 或無線入侵防禦系統 (WIPS) 來偵測惡意網路熱點的存在並發出警報。
  • 定期更新韌體和安全修補程式:將網路裝置和熱點使用最新的韌體和安全修補程式並保持最新狀態,以防止已知漏洞。
  • 培訓使用者:教育使用者了解邪惡雙胞胎攻擊的風險,並教導驗證網路詳細資訊並使用最佳安全策略。
  • 部署強制入口:為訪客網路實施具有服務條款協議的強制入口。這可以阻止攻擊者並幫助合法用戶區分真實網路和惡意網路。

透過遵循這些最佳安全策略,個人使用者和網路管理員便可顯著並降低成為邪惡雙胞胎攻擊受害者的風險或防止攻擊者成功冒充其網路。

有哪些備受矚目的邪惡雙胞胎攻擊的例子?

引人注目的邪惡雙胞胎攻擊發生在各種環境中,包括公共Wi-Fi 網路、企業環境和大型活動。以下是一些值得注意的案例:

  • Defcon蜜罐挑戰賽(2019):在2019年的Defcon駭客大會上,一位名叫戴夫.肯尼迪(Dave Kennedy)的安全研究人員進行了一項實驗,以證明邪惡雙胞胎攻擊的風險。他設定了一個惡意Wi-Fi無線網路熱點,偽裝成官方Defcon網路。許多與會者在不知情的情況下連接到流氓網路,這凸顯了連接到未經驗證的網路的潛在危險,即使是在以安全為重點的活動中也是如此。
  • 星巴克(2017):2017年,阿根廷布宜諾斯艾利斯的一家星巴克店成為邪惡雙胞胎攻擊的受害者。網路犯罪分子建立了一個名為「星巴克」的惡意Wi-Fi 熱點,該熱點模仿合法的星巴克網路。連接到該惡意網路的使用者的支付卡資訊全都被盜。這一事件證明了在未經適當驗證的情況下使用公共Wi-Fi網路的相關風險。
  • 機場和飯店:世界各地的機場和飯店都發生過各種邪惡雙胞胎襲擊事件。攻擊者經常建立相似信譽良好或知名的機構名稱的惡意Wi-Fi網路。尋求網路存取的旅客可能會在不知不覺中連接到這些流氓網路,從而使他們的敏感資訊面臨極大風險。
  • 企業環境:邪惡的雙胞胎攻擊已被用於企業間諜活動和資料竊取。攻擊者可能會在目標公司辦公室附近設置惡意無線網路點,引誘員工連接到這些虛假網路。一旦連接,攻擊者就可以攔截公司資料,並極可能可獲得對公司內部系統的未經授權的存取。
  • 音樂節和活動:音樂節等大型活動是邪惡雙胞胎攻擊的常見目標。與會者經常尋求開放的Wi-Fi網路,攻擊者利用透過創建具有誘人名稱的流氓網路。這些攻擊可能會導致活動參與者的資料外洩和經濟損失。

值得注意的是,邪惡雙胞胎攻擊可能發生在各種環境中,其影響範圍從輕微的不便到嚴重的安全漏洞。這些備受矚目的事件提醒人們,在連接Wi-Fi網路並驗證所使用網路的合法性時必須謹慎行事,尤其是在不熟悉的環境或公共場所。

本文參考自:https://www.portnox.com/cybersecurity-101/evil-twin-attack/