SSID с очень похожим именем, это попытка взлома?

140

Я заметил, что в моем WiFi появляется другой SSID с тем же именем, что и у меня (довольно личное, поэтому его можно было скопировать только намеренно), но пара букв написана заглавными буквами. Их версия не имеет безопасности. У меня есть WPA-PSK2. Я проверил это, чтобы быть уверенным, отключив мой маршрутизатор, и хотя мой исчез через некоторое время, они остались.

Это уловка при взломе? Они пытаются использовать это для проникновения в мою сеть - поскольку я закрыл свои только для утвержденных MAC-адресов - думая, что я подскользнусь и присоединюсь к их сети?

Пример:

  • Мой SSID: bestfriend
  • Их SSID: BestFriend(с большой буквы B & F)
К. Пик
источник
50
все больше людей должны относиться к безопасности серьезно. Это возможно, если это целевая атака, мы называем эти мошеннические точки доступа, где вы имитируете имя другого человека и смотрите, подключаются ли к нему клиенты. Но нам понадобится дополнительная информация, как конкретно называется ваша сеть (ESSID) и сколько людей ее используют? Это личная сеть? кто еще знает об этой сети? у твоей подруги есть бывший, который хочет вернуться вместе с ней? Вы поняли ... некоторые детали были бы хороши.
Налауриен
57
... может, они просто вежливо просят вас изменить прописную букву вашего SSID на "более правильный", потому что это беспокоит их, когда они видят его в списке доступных сетей? Я могу представить, как я это делаю ... «Никогда не приписывайте
злому
21
Подключитесь к сети с одноразового компьютера и попробуйте просканировать всю подсеть с помощью nmap, чтобы увидеть, что они делают.
Андре Бори
21
Может быть просто шанс. Вы будете удивлены тем, насколько популярны некоторые SSID (например, варианты «ФБР Surveillance Van»).
Марк
18
действуйте осторожно и не игнорируйте ошибки SSL / TLS!
n00b

Ответы:

130

Да, это, скорее всего, какая-то хакерская уловка, хотя догадываюсь почему.

Я отмечаю, что привязка вашего маршрутизатора к определенным MAC-адресам может обеспечить крошечную защиту, но не намного.

Также маловероятно, что их действия предназначены для взлома вашей сети - они с большей вероятностью попытаются захватить ваш трафик.

Если бы это был я, я бы воспользовался ими - я получил бы дешевый VPN и какое-то выделенное оборудование (ПК с низкой спецификацией, большой жесткий диск), подключил бы его к VPN и их сети и жестко вытащил. Поскольку вы используете VPN, они не смогут перехватывать ваш трафик, но вы можете использовать всю их пропускную способность, пока они не проснутся. (И у вас есть правдоподобное отрицание "Эй, я думал, что я был подключен к моей точке доступа - я использовал SSID моего устройства)

Несколько других вещей для размышления - возможно, что обе эти точки доступа на самом деле ваши - одна в диапазоне 2,4 ГБ, одна в диапазоне 5 ГБ, а группа 5 ГБ просто не зашифрована. Проверьте конфигурацию вашего маршрутизатора, чтобы исключить это, и / или какой-нибудь Wifi Analyzer (некоторые из них доступны в магазине Play для Android), чтобы помочь вам понять, откуда поступают сигналы, глядя на силу сигнала.

Остерегайтесь пакетов де-аутентификации. Если они пытаются взломать ваши системы, меня не удивит, если они попытаются отправить деавторизованные пакеты, чтобы помешать вашим соединениям, чтобы увеличить вероятность того, что кто-то в вашей сети попытается подключиться к ним.

davidgo
источник
114
Он упоминает, что он отключает маршрутизатор, и остальная сеть остается, это исключает, что это его 5-гигабайтный диапазон.
LPChip
13
Как это правдоподобное отрицание ? Вы экономили пропускную способность на дешевом компьютере, который купили через VPN, который обычно никогда не используете. Вы пытаетесь лгать 5-летнему или судье?
Мердад
20
@ Mehrdad Правдоподобное отрицание существует, поскольку ваш сосед пытался обмануть вас, чтобы подключиться к их точке доступа - и вы влюбились в это. Мой сосед ведет себя как хакер, поэтому вполне разумно получить VPN, чтобы защитить себя. (Кроме того, мне не нужно лгать судье, другая сторона, которая предъявляет претензии - мой адвокат может просто посеять семена сомнения). Мне интересно, что думают лучшие юристы, поэтому я изложил это в вопросе по адресу law.se ( law.stackexchange.com/questions/19482/… )
davidgo
17
@ Mehrdad Если я собираюсь лгать о взломе сети, я бы рискнул судить до пятилетнего возраста!
Auspex
3
Независимо от «правдоподобного отрицания», я считаю неэтичным пропагандировать такое теневое поведение, тем более что в зависимости от юрисдикции подключение к открытой точке доступа может быть совершенно законным.
StockB
56

Мне кажется, что это что-то под названием " Злой Двойник ".

По сути, злоумышленник создает сеть, которая имитирует вашу, поэтому вы (или сама ваша машина) подключаетесь к ней. Он добивается этого, как сказал Дэвидго, посылая пакеты де-аутентификации на ваш маршрутизатор, чтобы вам пришлось переподключаться. Изменив MAC-адрес своего собственного маршрутизатора на свой, ваш компьютер автоматически подключается к сети злоумышленников (учитывая, что его сигнал сильнее). Это позволяет злоумышленнику причинить вам дополнительный вред посредством атак типа «человек в середине» или фальшивого DNS, который перенаправляет обычные веб-сайты на фишинговые.

Теперь вы могли бы немного научиться здесь и попытаться доказать, что это действительно злоумышленник с плохими намерениями, и сообщить об этом, или просто воспользоваться «свободным трафиком», но, поскольку могут происходить некоторые DNS-махинации, вы можете рискнуть выдать конфиденциальную информацию. когда не будешь осторожен при заполнении форм.

эхо
источник
54
Обычно Evil Twin точно соответствует SSID. Я думаю, что, используя заглавные буквы, они пытаются несколько потенциальных жертв Social Engineer и делают некапитализированный SSID похожим на плохого клона. «Посмотрите на этот некапитализированный клон! Он плохо справляется с тем, чтобы заставить меня щелкнуть по нему. Очевидно, я должен щелкнуть по заглавному, который выглядит более официальным с некоторой мыслью, придумавшей название».
Кори Огберн
3
Зачем злоумышленнику беспокоиться о (подозрительном) SSID, если он может автоматически подключить ваше устройство к маршрутизатору путем подмены MAC-адреса?
JimmyB
7
@JimmyB Вероятно, потому что злоумышленник не может справиться с условием «учитывая, что его сигнал сильнее». Таким образом, вместо того, чтобы пойти на компьютер, который не сотрудничает, они идут на невнимательного человека.
Кевин
3
Если механизм аутентификации безопасности не совпадает с исходной беспроводной сетью, компьютер не будет подключаться к поддельной сети, даже если сигнал сильнее.
pHeoz
1
@JimmyB Как только устройство подключится к вашему поддельному SSID, вам не нужно подделывать какой-либо MAC-адрес. При атаке Evil Twin вы пытаетесь заманить жертву в вашу беспроводную сеть, предоставив ей тот же SSID, и помешать подключению клиентов к реальному (с помощью прерывания сигнала или - чаще - путем принуждения их к де-аутентификации из реальной сети). AP). Большинство людей не выбирают SSID вручную, так как их устройство уже подключено к SSID их домашней сети, только когда у вас есть новое устройство, вы просматриваете список доступных сетей, делая вас восприимчивым к социальной инженерии
BlueCacti
43

Ранее в этом году я столкнулся с подобной «проблемой» при устранении проблем с беспроводным подключением.

Мое предложение - вопрос: у вас есть Chromecast ?

Проблемы с подключением в конечном итоге были полностью ошибкой поставщика услуг, но я действительно застрял на этом SSID красной сельди. Используя приложение анализатора уровня сигнала Wi-Fi на своем телефоне, я отследил его до Chromecast ( который был альтернативной заглавной буквой моего Wi-Fi SSID ), и было много облегчений.

РЕДАКТИРОВАТЬ:. Важно отметить, что Chromecast требуется только питание (не «интернет») для размещения собственного Wi-Fi, он будет подключаться как к Wi-Fi, так и к собственному хостингу. Вы можете подключиться к этому, но он ничего не делает, если вы не настраиваете его через приложение

Cireo
источник
3
Да, у меня есть Chromecast. Buts MAC-адрес добавляется в исходный маршрутизатор, и он также не будет работать, когда я отключил маршрутизатор в ту ночь.
К. Пик
Я добавлю, что мой Chromecast также называется SantoRican, но, поскольку он не был подключен к Интернету, Wi-Fi не работал, он был отключен. Парень из кабельного телевидения проверил это, когда пришел, чтобы починить WiFi, но сказал, что это не было причиной проблемы. (но вы никогда не знаете, что он может ошибаться)
К. Пик
1
@ K.Pick Chromecast может выступать в роли хоста, поэтому вы можете подключиться к нему с помощью телефона и настроить его.
Emed
2
Это кажется наиболее вероятным ответом. Коварные люди могут использовать другие, более интересные и менее очевидные способы. «Альтернативная капитализация» должна быть выделены жирным шрифтом , как это самый очевидный ключ , на мой взгляд.
KalleMP
21
@ K.Pick: Не начинайте гадать, как Chromecast указан в вашем роутере. Просто отключите Chromecast и проверьте, есть ли еще SSID.
Янки
14

Что ж, похоже, вы относитесь к безопасности довольно серьезно. Возможно, кто-то пытается обмануть людей, присоединяющихся к другой сети. Лучший способ начать смотреть на это было бы изменить свой SSID на что-то другое - и также довольно конкретное, например, слово с несколькими цифрами, заменяющими буквы, и посмотреть, изменится ли этот SSID на ваш, - возможно, ваш будет st0pthisи их StopThis. Если вы заранее запишите их MAC-адрес SSID, чтобы увидеть, изменился ли другой SSID, вы можете быть еще более подозрительными.

Хороший способ узнать MAC-адреса в Linux - это, iwlist YourInterfaceName scanning | egrep 'Cell |Encryption|Quality|Last beacon|ESSID'конечно, вы можете и действительно должны следить за своей сетью на предмет изменений и подозрительной активности, а также постоянно обновлять свои машины.

r0berts
источник
2
@ r0berts должен подразумевать выбор с сильной рекомендацией.
wizzwizz4
Я же понимаю. Но в среднем я бы сказал, что люди не знают, как контролировать свои сети, поэтому нет смысла заставлять их чувствовать вину за это. Но точка взята)
r0berts
1
Даже поддержание вашей системы в актуальном состоянии с помощью исправлений и наличие некоторой базовой гигиены компьютера (брандмауэр с блокировкой входящего по умолчанию, новейший антивирус) будет иметь очень долгий путь к обеспечению безопасности вашей системы. К сожалению, это необходимый минимум для любой системы, которая подключена к Интернету. Дни, когда вы могли просто подключить любую произвольную систему к Интернету без каких-либо мер предосторожности, давно прошли ...
CVn
Я полностью согласен с этим. Было бы замечательно, если бы сложность мониторинга вашей сети могла быть уменьшена, но это все еще требует огромных временных затрат, чтобы изучить это для вашей домашней локальной сети.
r0berts
11

Простой трюк,

Измените свой SSID и скройте его, чтобы увидеть, что происходит. Если они снова скопируют ваш SSID, значит, у вас проблемы.

Экстремальный режим

Измените диапазон локальной сети DHCP на то, что не используется в открытой сети

Если возможно, настройте статический IP-адрес, чтобы ваш компьютер не мог использовать открытый WiFi

Настройте параметры WiFi на вашем ПК, чтобы не использовать открытые точки доступа WiFi

Измените свой пароль WiFi на что-то вроде этого: HSAEz2ukki3ke2gu12WNuSDdDRxR3e

Измените пароль администратора на маршрутизаторе, чтобы убедиться. И, наконец, используйте VPN-клиент на всех ваших устройствах (включая телефоны).

Вы используете фильтрацию MAC, и это хорошая функция безопасности низкого уровня. Наконец, используйте сторонний брандмауэр и программное обеспечение AV и установите настройки, чтобы раздражающе защитить, так что вам нужно одобрить почти каждое действие, которое имеет отношение к интернету или сетевой активности.

Как только вы привыкнете к этим вещам, вам будет легче поддерживать и ваш брандмауэр будет расслабляться, потому что он учится на ваших действиях.

Держать нас в курсе! :)

MR_Miyati
источник
10

Да, это именно то, о чем вы думаете: кто-то пытается обманным путем заставить вас присоединиться к их сети. Не подключайтесь к нему. Если вы понимаете, что только что это сделали, запустите антивирусную проверку и удалите все загружаемые данные, поскольку им нельзя доверять. Если вы случайно отправили конфиденциальные данные, такие как пароль, через это мошенническое соединение, измените их прямо сейчас.

Если эта точка доступа не исчезнет через некоторое время, я предлагаю вам предпринять разумные усилия, чтобы остановить ее (например, попросить соседей прекратить это или сказать своим детям, чтобы они остановились). Устройство, способное отображать уровень сигнала Wi-Fi, например мобильный телефон, должно позволять вам достаточно точно отслеживать местоположение этой точки доступа.

Дмитрий Григорьев
источник
Приложение, которое я бы порекомендовал для отслеживания Inssider. Он создан замечательными людьми в metageek.
Роуэн Хокинс
9

Часто люди с проблемами безопасности просто параноики. В этом случае у вас есть вполне законное основание для беспокойства.

Не думайте, что злонамеренность на 100%, это может быть смекалка, пытающаяся вас разыграть, скажем, путем перенаправления запросов сайта на сайт-шутку. Или кто-то, кто пытался настроить свою собственную сеть и просто имитировал вашу (но я склонен сомневаться в том, что в настоящее время любой маршрутизатор будет иметь требование пароля по умолчанию). Но в основном человек сможет видеть большую часть вашего трафика, какие веб-сайты вы посещаете, что вы отправляете и получаете, кроме того, что зашифровано (и многое не зашифровано). Это может быть для шантажа, шпионажа, преследования. С другой стороны, это не очень сложно и довольно легко обнаружить, так что кто знает.

Что еще более важно, это не какая-то общая массовая глобальная атака иностранных хакеров, это означает, что физическая точка доступа находится рядом или в вашем доме. На твоем месте я бы не сталпредупредить их, но попытаться найти его. Если у вас есть блок предохранителей, отключайте питание по одному курсу за раз, подождите пять минут и посмотрите, исчезнет ли точка доступа. Это скажет вам, если это что-то в вашем доме. В противном случае вы можете использовать триангуляцию, уровень сигнала с помощью GPS-регистратора на вашем телефоне и прогуляться по окрестностям, или Pringles может примерно узнать, где он находится. Вы можете найти старого бывшего с ножом, закопанным ящиком или ботаников соседа. Если они заботятся достаточно, чтобы сделать это, у них также может быть аудио ошибка. Сначала отследите, где он находится, и если он находится в чьем-то доме, вы можете вызвать телохранителя с работы и постучать в двери.

боб
источник
2
Я тоже думаю, что было бы интересно узнать местоположение сети, прежде чем она будет отключена. Ответ Chromecast выше может быть мягким объяснением, хотя.
KalleMP
Ssid исчезли утром, когда интернет-компания пришла починить сеть, так что я думаю, что если бы это был кто-то поблизости, они могли бы увидеть грузовик и опустить его.
К. Пик
2

Другие ответы пока дают вам достаточно, чтобы сделать с этой конкретной ситуацией.

Однако следует отметить, что вы заметили ситуацию, которая может быть попыткой вторжения в ваши личные данные. Существуют и другие ситуации, когда такого рода атаки менее заметны. Например, если ваш сосед знает ваш Wi-Fi-пароль, который вы могли бы сказать им, когда они любезно спросят, потому что они были новичками в доме, и там был еще не готов собственный канал связи. Но хуже всего: если у вас есть незашифрованный Wi-Fi (или тот, где пароль общеизвестен), например, с гостиницей или аэропортом Wi-Fi, эти атаки будет очень трудно обнаружить, потому что злоумышленник может настроить Wi-Fi с ТОЧНО тем же настройки (тот же пароль и тот же SSID) и ваши устройства будут автоматически подключаться к наиболее сильному сигналу и никогда не сообщать вам, что он сделал выбор.

Единственная возможность на самом деле оставаться в безопасности - это зашифровать ВСЕ ваш трафик. Никогда не вводите свой пароль, адрес электронной почты, номер кредитной карты или любую другую информацию на веб-сайте, который не зашифрован SSL / TLS. Считайте, что загрузка с незашифрованных веб-сайтов скомпрометирована (возможно, было введено вредоносное ПО). Перед вводом / загрузкой данных на зашифрованном веб-сайте убедитесь, что вы находитесь в нужном домене (google.com, а не giigle.com. SSL не поможет, если вы находитесь в домене, с которым вы не хотите общаться). Установите HTTPS-Вездеи т. п. Также помните, что существуют другие службы, кроме вашего веб-браузера, которые могут передавать данные, такие как почтовый клиент IMAP. Убедитесь, что он также работает только на зашифрованных соединениях. В настоящее время едва ли есть причина не шифровать весь ваш трафик, тем не менее, некоторые разработчики просто ленивы и т. Д. Если вам нужно использовать какое-либо приложение, которое не поддерживает SSL или аналогичную меру безопасности, тогда используйте VPN. Обратите внимание, что поставщик VPN будет по-прежнему иметь возможность считывать весь ваш трафик, который не зашифрован в дополнение к шифрованию, которое обеспечивает VPN.

янки
источник
1

ЕСЛИ это попытка взлома, то ее кто-то не знает. Каждый SSID может быть защищен паролем определенного типа и с некоторой криптографической стойкостью.

Просто настроить другую точку доступа с тем же именем, что и у ближайшей точки доступа, - это то же самое, что и это:

Меня зовут Стив Смит, и я только что переехала в дом. И, как оказалось, это правда, моего ближайшего соседа зовут Стив Смит. Но только то, что мой сосед и я имеем одно и то же имя, не означает, что ключ от моей входной двери будет работать на его входной двери ... Также это не значит, что мой ключ от двери волшебным образом перекроет себя, чтобы он также работал на его двери ...

И ТАК, насколько это глупо с точки зрения возможного хакерского сценария ...

Ваши ответы:

1) Это уловка при взломе?

 - Maybe, but it won't work.

2) Они пытаются использовать это для проникновения в мою сеть - поскольку я закрыл свои только для утвержденных MAC-адресов - думая, что я подскользнусь и присоединюсь к их сети?

 - They might be, but it doesn't matter, since it won't work. 
Майкл Симс
источник
1
Пожалуйста, предоставьте решение для ОП не просто комментарии
Ясс
0

Ответ довольно прост,
если он не ваш, что вы можете проверить, отключив chromecast и ваш маршрутизатор (также убедитесь, что другие точки доступа отключены).

Если он все еще сохраняется, это, скорее всего, попытка отслеживать ваш трафик, в большинстве случаев он не может причинить никакого вреда, за исключением случаев, когда вы используете множество незашифрованных сайтов (HTTP) вместо зашифрованных (HTTPS).

Если вы используете HTTP, все, что вы отправляете, будет отправлено в виде простого текста, что означает, что если ваш пароль «123abc», они также смогут видеть «123abc».

Программа, которая может подорвать ваш трафик, например, WireShark.

Марникс Малдер
источник
0

Если бы это был хакерский ход, SSID сети был бы точно таким же, как ваш, и был бы открыт - так что вы бы подключились к нему автоматически (если бы у них был более сильный сигнал), и вы бы этого не заметили.

Я часто делаю это с моими соседями по выходным, когда они играют в YouTube на своем ноутбуке или телефоне после 1 часа ночи - в основном клонируют их сеть (разрешен только один уникальный SSID) и вводят пароль - это останавливает их, когда они выходят из строя и возвращаются и они так и не поняли. Они просто думают, что WiFi снова сломан.

Если я оставлю его открытым, пароль не будет - они подключатся, и я смогу выполнить перенаправление DNS или человека, участвующего в промежуточной атаке, и отслеживать их сетевую активность или другие вещи, которые могут быть сочтены незаконными - наверняка они могут подключиться к моему IP-адресу маршрутизатора. и увидеть подключенные устройства - но этого не происходит.

Как аналитик по безопасности, я бы подумал, что сетевой идентификатор, такой как «лучший друг», просто создал новый «Лучший друг».

Если бы это был настоящий хакерский ход - это был бы точно такой же SSID и открытая сеть, и вы, скорее всего, не заметили бы, как вы снова подключились к WiFi, так как там есть автоматическое подключение к имени.

Это очень старый трюк - взять ноутбук в кафе, и DNS перенаправить с беспроводного ключа на сайт входа - получить трафик людей.

Одна из причин, по которой кард-ридеры часто работают без WiFi и жестко привязаны к банку, - это слишком просто подключить к сети Starbuck MiM и еще несколько секунд, чтобы посмотреть кэш изображений каждого устройства - отели, которые используют ретрансляторы для расширенного WiFi.

Особенно в США, где некоторые отели даже не имеют пароля и очень высокие. Обнюхайте это за несколько секунд и даже получите доступ к основным рабочим станциям или офисам с телефона, иногда.

(У меня были сетевые имена, такие как «Я видел тебя голым», и кто-то изменил их на «я тоже» и «Я не хочу видеть тебя голым». Или отправил сообщения - например, «рабочие смены», поэтому соседи знают, что вечеринки можно проводить всю ночь, но, пожалуйста, не будите меня, стуча в дверь, чтобы поговорить, потому что я буду спать в 08:00).

Какой-то парень
источник