Schritte, die Sie unternehmen müssen, wenn Sie von einem "Evil Twin" -WLAN-Angriff angegriffen werden?

3

Ich möchte um Hilfe bitten, vielleicht um Schritte, wenn ich von einem "Evil Twin" -Angriff angegriffen werde.

Meine Frage hängt damit zusammen: SSID mit sehr ähnlichem Namen, ist dies ein Versuch des Hackens? Aber ich bin mir ziemlich sicher, dass es sich in meinem Fall um einen Angriff handelt, und ich brauche eher Gegenmaßnahmen, um nicht nur sicherzugehen, dass es sich um einen Angriff handelt.

Ich möchte auch darauf hinweisen, dass ich kein Sicherheits- / Netzwerkfachmann bin, obwohl ich Softwareentwickler bin. Ich habe nur gemerkt, was passiert, weil ich oft Artikel zu verschiedenen interessanten IT-Themen lese.

Die Geschichte:

Vor ungefähr einem Monat bemerkte ich ein WiFi-Netzwerk mit dem gleichen Namen wie ich (Paternoszter), das auf meiner WiFi-Liste für Laptops angezeigt wurde, wenn ich zuhause bin. Es ist ein offenes Netzwerk, im Gegensatz zu meinem, das (nur) passwortgeschützt ist.

In den ersten Tagen habe ich nicht viel Aufmerksamkeit geschenkt als Stellen Sie sicher, dass ich eine Verbindung zu meinem eigenen Netzwerk herstelle , aber dann Mein Netzwerk hat angefangen, die Verbindung zum falschen Netzwerk zu trennen und wieder herzustellen , Das ist wenn Ich habe mein WLAN und auch meinen Router ausgeschaltet .

An diesem Punkt Ich habe den Vorfall den Behörden gemeldet , füllte die Formulare aus, schickte Screenshots und alles, was sie verlangten. Ich habe das Versprechen bekommen, dass "sie sich darum kümmern werden". Ich habe meinen Computer eine Woche lang nur im LAN verwendet, aber das doppelte Netzwerk bleibt bestehen. (Es ist da, auch wenn ich meinen Router vom Stromnetz trenne)

Ein Monat ist vergangen, nichts hat sich geändert, aber ich habe zu viel Angst, mein eigenes WiFi-Netzwerk zu nutzen. Es ist ärgerlich, weil ich keine Erfahrung mit solchen Dingen habe. Ich habe 3 Tutorials verwendet, um nur meine Router-Einstellungen vorzunehmen. Ich weiß nicht, was ich tun könnte.

Gibt es weitere Schritte, die ein Anfänger wie ich unternimmt? Ich hatte gehofft, dass sie jetzt aufgeben würden.

UPDATE (2017.06.20.) : Drei Tage nach diesem Post ist der "Zwilling" verschwunden, aber da ich keine Ahnung hatte warum, habe ich noch nichts gepostet. Es stellte sich heraus, dass die Behörden dies geprüft haben, aber mir wurde gesagt, dass sie mir während der Ermittlungen nichts mitteilen können. Ich möchte mich hiermit bei allen Kommentaren bedanken, es hat mir geholfen meine Nerven zu beruhigen!

Dragonturtle
quelle
Welches Betriebssystem verwenden Sie? Hilft es, den Namen zu ändern? (Besonders eine, die schwer zu tippen ist.) Bietet das gefälschte Netzwerk einen Internetzugang?
grawity
1
Win10, ich habe versucht, "Paternoszter" in "Paternoszter2" zu ändern, in den ersten 3 Tagen, aber die Fälschung wurde innerhalb weniger Stunden geändert, so dass ich es zurück änderte. Ich hatte zu viel Angst, meinen Computer überhaupt mit dem gefälschten Zugang verbinden zu lassen, also weiß ich nicht, ob er Internet bietet oder nicht.
Dragonturtle
Verwenden Sie kein WiFi. Es gibt nicht viel, was Sie tun können. Verwenden Sie einfach kein WLAN. Den bösen Zwilling zu lokalisieren und ihn auszuschalten, wäre die Lösung.
Seth
Mein Netzwerk hat angefangen, die Verbindung zum falschen Netzwerk zu trennen und wieder herzustellen Das ist beunruhigend. Ihr Computer sollte keine Verbindung zu einem offenen Netzwerk herstellen, es sei denn, Sie haben darum gebeten. Welches Betriebssystem ist das?
David Schwartz

Antworten:

3

Dein Kommentar sagte, dass, wenn Sie Ihre SSID änderten, dann änderte es zurück, das "böse Zwillings" -Netzwerk das gleiche tat. Zusammen mit der Tatsache, dass Sie zugeben, dass Sie sich nicht besonders gut mit Netzwerken auskennen, bin ich der Meinung, dass dies möglicherweise eine Gast-SSID oder eine andere SSID für eine andere Frequenz (2,4 GHz vs 5 GHz) sein könnte, wie in Ihrer Beschreibung angegeben verknüpfte Frage . Suchen Sie in den Router-Einstellungen nach Gast oder 5 GHz, um dies zu bestätigen. Wenn Sie nicht verstehen, können Sie Ihr Routermodell & amp; Vielleicht kann einer von uns

gregg
quelle
3
Der Benutzer stellte über die doppelte SSID fest, dass "sie auch dann vorhanden ist, wenn ich meinen Router vom Stromnetz trenne". Wenn dies zutrifft, wird keine Gast- oder alternative SSID vom Router des Benutzers gesendet. Möglicherweise liegt ein Benutzerfehler beim Ermitteln der SSIDs vor, die übertragen werden.
Sherlock Bytes
3

Hier geht es eher darum, herauszufinden, was los ist, als um eine direkte Lösung.

Holen Sie sich Ihr Smartphone, rufen Sie den entsprechenden App Store auf und laden Sie eine der Anwendungen für den WLAN-Analysator herunter.

Schalten Sie Ihr WLAN oder Ihren gesamten Router aus

Verwenden Sie die vom WLAN-Analysator gelesene Signalstärke, um zu ermitteln, von wo das Problem gesendet wird. Dieser Antworter fanden heraus, dass seine "doppelte SSID" von einem lokalen Gerät gesendet wurde, das er lokalisieren konnte. Auch wenn Sie keinen Zugriff auf das Gerät haben ist , Sie sollten in der Lage sein, die Position so weit einzugrenzen, dass Sie es leicht erkennen können Wer tut dies, d. h. welcher Nachbar.

Baldrickk
quelle
Ich wollte dasselbe vorschlagen
Magnus
0

Die beste Möglichkeit, sich gegen einen "bösen Zwillings" -Angriff zu verteidigen, besteht darin, eine neue SSID zu konfigurieren und die Übertragung zu deaktivieren. Wenn Sie die Übertragung auf Ihrer SSID deaktivieren, wird sie nicht mehr in Ihren PC / MAC WiFi-Netzwerklisten angezeigt. Sie müssen es physisch zusammen mit der WPA2-PSK-Passphrase eingeben. Auf diese Weise wird niemand Ihre SSID sehen. Versuchen Sie es mit einer anderen SSID als "Paternoszter" oder "Paternoszter2" oder "Paternoszter3". Legen Sie einen neuen SSID-Namen fest. Hoffe das hilft.

pythonian
quelle
1
Diese Methode hat einen großen Nachteil. Anstatt dass Ihr Gerät sich umschaut und "Dave" & amp; verbindet sich mit ihm, stattdessen wird es ständig schreien: "Hey, Dave, bist du da?"
Tetsujin
Diese werden als Prüfanforderungen bezeichnet und im Treiber des drahtlosen Geräts codiert, um in bestimmten Intervallen gesendet zu werden. Es wird nicht "ständig schreien", es sei denn, das Gerät befindet sich am Rande der Funkgrenze. Die Art und Weise, wie es funktioniert, ist, dass die Prüfanforderungen an Häufigkeit zunehmen, wenn das WLAN-Signal schwächer wird. Dies geschieht, damit ein anderer AP in der Umgebung mit einer Testantwort antworten kann und das Gerät die Möglichkeit hat, zum neuen AP zu wechseln und die Konnektivität nicht zu verlieren. Hoffe das hilft @Tetsujin
pythonian
1
&Ampere; Diese SSID kann von jedem Ort aus abgerufen werden, an dem das Gerät sie nicht sehen kann, da sie "Dave, wo bist du?" ruft. auf einen Timer.
Tetsujin
2
Sie haben Recht - Auch wenn die SSID im SSID-IE leer ist, kann der Sniffer die gerichtete Prüfungsanforderung erfassen, die die von der Station gesuchte SSID enthält. In ähnlicher Weise enthält eine Testantwort vom AP die SSID. Ich denke, er muss einen AP mit 802.11w-Unterstützung kaufen. Verschlüsselung von Verwaltungspaketen.
pythonian
0

Obwohl es wahrscheinlich legal ist, die SSID zuzuordnen, scheint es mir ziemlich riskant zu sein. Wenn sich jemand dazu entscheidet zu Verfügung stellen Als "open evil twin" -Netzwerk kann es auf mindestens zwei Arten nach hinten losgehen:

  1. andere könnten einfach benutzen es (mit starker Krypto) und erschöpfen monatliche Datenquote / Trigger-Geschwindigkeitsdrosselung,

  2. unbekannte Benutzer könnten es für verwenden illegal Dinge (Filesharing, Versenden von Erpressungsbriefen, was auch immer), die auf den Operator "böser Zwilling" zurückgeführt würden.

In diesem Sinne könnten Sie einfach "kostenloses WLAN" -Schilder anbringen, um andere (anonyme) Benutzer anzulocken. Dies könnte den betrügerischen Access Point-Operator zweimal überlegen lassen :)

jvb
quelle
0

Das Auffinden des fehlerhaften Geräts ist das Wichtigste, was Sie tun sollten. Ich würde auch den Wi-Fi-Analysator verwenden, wie Baldrickk vorgeschlagen hatte.

Wenn Sie dies so sehr erschrecken, dass Sie kein WLAN mehr verwenden möchten, müssen Sie sich als Zweites vor künftigen Angriffen schützen.

Die WIPS \ WIDS-Technologie ist neu genug, sodass es schwierig sein kann, sie manuell einzurichten, und teuer ist, eine kommerzielle Lösung zu kaufen.

Weitere Informationen zu Wireless Intrusion Prevention-Systemen:

https://en.wikipedia.org/wiki/Wireless_intrusion_prevention_system

Es gibt eine kostengünstige Heimlösung, die mir bekannt ist, die aber leider noch nicht herauskommt. Es heißt FingBox und verfügt über zahlreiche Funktionen, mit denen Sie die Kontrolle und Informationen über Ihr drahtloses Netzwerk erhalten. Es kann auch einige Angriffe erkennen, wie den Evil Twin und eine De-Auth-Flut.

https://www.fing.io/home-network-security-device/#

Wenn Sie versuchen möchten, Ihr eigenes System zu rollen, finden Sie hier die Opensource-Lösung:

http://openwips-ng.org/

Selbst wenn Sie ein WIDS-System hätten, das in der Lage ist, den Evil Twin zu erkennen, müssten Sie das Gerät physisch aufspüren und den Besitzer konfrontieren. Die gute Nachricht ist, dass es wahrscheinlich zu Fuß erreichbar ist.

HackSlash
quelle
0

http://www.ebay.com/itm/Faraday-Cage-ESD-EMP-7-0MIL-Thick-Material-5-Yards-X-36-Survivalists-Preppers-/141855276714?_trksid=p2385738.m2548.l4275

Oben ist etwas Abschirmmaterial. Es ist recht teuer und blockiert den Empfang von Mobiltelefonen und anderen Gegenständen.

Wenn Sie die ungefähre Position finden und diese vorübergehend an Ihren Wänden platzieren können, werden alle externen Signale blockiert.

Ihr eigenes WLAN-Signal befindet sich auf der Innenseite, sodass es nicht beeinträchtigt wird.

cybernard
quelle
-1

Der wahrscheinlichste Angriff (und ich kenne die technischen Details nicht, ich bin ein bisschen verrückt nach Hacking) hat etwas mit Geräten zu tun, die automatisch Passwörter übermitteln, um eine Verbindung herzustellen.
Der beste Weg, um zu überprüfen, ob sie erfolgreich sind, besteht darin, die Mac-Adressen aller Ihrer Geräte abzurufen und die angeschlossenen Mac-Adressen zu überwachen. Wenn Sie den Verdacht haben, dass es nicht autorisierte Geräte gibt, gibt es eine Lösung, aber sie hat einen Nachteil.

Sie können die Mac-Adressfilterung verwenden. Die Mac-Adresse ist eine eindeutige Adresse für jedes Netzwerkgerät. Sie können im Router eine Liste erstellen, um bestimmte Mac-Adressen auf die Whitelist zu setzen.

Der Nachteil ist, dass Sie jede Adresse manuell hinzufügen müssen. Wenn es viele einmalige Benutzer gibt, kann es sein, dass sich der Aufwand nicht lohnt.

Sie können auch Geräte auf die schwarze Liste setzen, die Sie bereits in Ihrem Netzwerk gefunden haben. Dies ist weniger effizient, da es ziemlich einfach ist, die Mac-Adressen zu ändern, aber es wird sehr viel schwieriger, wenn Sie eine bestimmte Liste von möglicherweise 20 Adressen abgleichen müssen

Nick Dewitte
quelle
Alter ... Das ist wirklich ein schlechter Rat. In jeder Version von Backtrack und Kali Linux kann eine Mac-Adresse zufällig generiert werden. Oder klonen Sie einen Geräte-Mac. Sie sollten diese Antwort löschen.
Tim_Stewart