SSID com nome muito semelhante, isso é uma tentativa de invasão?

140

Percebi que outro SSID aparece no meu WiFi com o mesmo nome que o meu (bastante pessoal, por isso só poderia ter sido intencionalmente copiado), mas algumas letras estão em maiúsculas. A versão deles não tem segurança. A minha possui WPA-PSK2. Eu testei para ter certeza desconectando meu roteador e enquanto o meu desapareceu depois de um tempo, o deles permaneceu.

Isso é uma manobra de hackers? Eles estão tentando usar isso para se infiltrar na minha rede - desde que eu fechei a minha apenas para endereços MAC aprovados - pensando que vou cair e me juntar à rede deles?

Exemplo:

  • Meu SSID: bestfriend
  • Seu SSID: BestFriend(com maiúsculas e minúsculas)
K. Pick
fonte
50
mais pessoas devem levar a segurança a sério. É possível, se for um ataque direcionado, chamamos esses pontos de acesso não autorizados, onde você imita o nome de outra pessoa e verifica se os clientes se conectam a ele. Mas precisaremos de mais informações, qual é exatamente o nome da sua rede (ESSID) e quantas pessoas a usam? Essa rede é pessoal? quem mais conhece essa rede? sua namorada tem um ex que quer voltar com ela? você entendeu ... alguns detalhes seriam bons.
Nalaurien
57
... talvez eles estejam apenas pedindo educadamente que você altere a capitalização do seu SSID para uma "mais correta", porque isso os incomoda quando o vêem na lista de redes disponíveis? Eu consigo me imaginar fazendo isso ... "Nunca atribua à malícia o que é explicado adequadamente pela extrema picuinhas" (?)
xDaizu
21
Conecte-se à rede com uma máquina descartável e tente digitalizar toda a sub-rede com o nmap para ver o que eles estão fazendo.
André Borie
21
Pode ser apenas um acaso. Você ficaria surpreso com a popularidade de alguns SSIDs (por exemplo, variações no "FBI Surveillance Van").
Mark
18
pise com cuidado e não ignore os erros SSL / TLS!
N00b

Respostas:

130

Sim, provavelmente é algum tipo de truque de hackers, embora seja um palpite sobre o porquê.

Aponto que o bloqueio do roteador para endereços MAC específicos pode fornecer um pouquinho de segurança, mas não muito.

Também é improvável que suas ações sejam projetadas para invadir sua rede - é mais provável que eles tentem capturar seu tráfego.

Se fosse eu, eu tiraria proveito deles - obteria uma VPN barata e algum hardware dedicado (PC de baixa especificação, disco rígido grande), conectaria à VPN e à rede deles e lixiviaria com força. Como você está usando uma VPN, eles não poderão interceptar seu tráfego, mas você poderá consumir toda a largura de banda até que eles sejam ativados. (E você tem uma negação plausível "Ei, eu pensei que estava conectado ao meu AP - usei o SSID do meu dispositivo)

Algumas outras coisas para refletir - É possível que esses dois APs sejam realmente seus - um na banda de 2,4 GB, um na banda de 5 GB e a banda de 5 GB simplesmente não é criptografada. Verifique a configuração do roteador para descartar isso e / ou algum tipo de Wifi Analyzer (existem alguns disponíveis na Play Store para Android) para ajudá-lo a descobrir de onde os sinais vêm, observando a intensidade do sinal.

Cuidado com a desassociação de pacotes. Se eles estão tentando invadir seus sistemas, não me surpreenderia se eles estivessem tentando enviar pacotes de desautorização para interferir em suas conexões, aumentando a chance de alguém da rede tentar se conectar a eles.

davidgo
fonte
114
Ele menciona que desconecta o roteador e a outra rede permanece, excluindo a sua banda 5gig.
precisa saber é o seguinte
13
Como é essa negação plausível ? Você estava lixiviando largura de banda em um computador barato que comprou através de uma VPN que normalmente nunca usa. Você está tentando mentir para uma criança de 5 anos ou para um juiz?
Mehrdad
20
@Mehrdad Existe uma negação plausível, pois seu vizinho estava tentando enganá-lo a se conectar ao seu PA - e você se apaixonou por ele. Meu vizinho se comporta como um hacker, por isso é perfeitamente razoável obter uma VPN para me proteger. (Além disso, não preciso mentir para um juiz, é a outra parte que faz a reclamação - meu advogado poderia simplesmente plantar as sementes da dúvida). Estou curioso sobre o que melhores mentes jurídicas pensar, porém, para que eu tenha colocado isso em uma pergunta no law.se ( law.stackexchange.com/questions/19482/... )
davidgo
17
@Mehrdad Se eu vou mentir sobre hackers em rede, eu me arrisco a um juiz antes dos cinco anos de idade!
Auspex
3
Independentemente da "negação plausível", acho antiético advogar tal comportamento obscuro, especialmente porque, dependendo da jurisdição, pode ser inteiramente legal conectar-se a um ponto de acesso aberto.
StockB
56

Parece-me que isso é algo chamado " Evil Twin ".

Basicamente, o invasor cria uma rede que imita a sua, para que você (ou sua máquina por si só) se conecte a ela. Ele consegue isso, como disse a davidgo, enviando pacotes de desautorização para o seu roteador, para que você tenha que se reconectar. Ao alterar o endereço MAC do roteador dele para o seu, o computador se conecta automaticamente à rede do invasor (considerando que o sinal é mais forte). Isso permite que o invasor o prejudique ainda mais por ataques do tipo intermediário ou por um DNS falso que redireciona sites comuns para sites de phishing.

Agora você pode fazer alguma ciência aqui e tentar provar que esse é realmente um invasor com más intenções e denunciá-lo, ou simplesmente tirar proveito do "tráfego livre", mas, como pode haver algumas desvantagens de DNS, você pode se arriscar a fornecer informações confidenciais. quando não tomar cuidado ao preencher formulários.

Eco
fonte
54
Normalmente, um gêmeo do mal corresponde exatamente ao SSID. Eu acho que, ao colocar em maiúsculas certas letras, eles estão tentando, de certa forma, vítimas em potencial do Engenheiro Social e fazer com que o SSID não capitalizado pareça um clone ruim. "Olhe para este clone sem capitalização! Ele está fazendo um mau trabalho ao me fazer clicar nele. Obviamente, eu deveria clicar no capitalizado que parece mais oficial com alguma idéia de nomeá-lo."
Corey Ogburn
3
Por que o invasor se incomodaria com um SSID (suspeito) se ele pode fazer com que seu dispositivo se conecte ao roteador automaticamente falsificando o endereço MAC?
JimmyB
7
@ JimmyB Provavelmente porque o invasor não pode gerenciar a pré-condição "dado que seu sinal é mais forte". Então, em vez de procurar o computador que não está cooperando, eles buscam o ser humano desatento.
Kevin Fee
3
Se o mecanismo de autenticação de segurança não for exatamente o mesmo que a rede sem fio original, o computador não se conectará à rede falsa, mesmo que o sinal seja mais forte.
pHeoz
1
@ JimmyB Depois que um dispositivo se conectar ao seu SSID falso, você não precisará falsificar nenhum endereço MAC. Em um ataque do Evil Twin, você tenta atrair a vítima para a sua rede sem fio, fornecendo o mesmo SSID e interferindo nos clientes que se conectam à rede real (interrompendo o sinal ou, mais comumente, forçando-os a se autenticarem da rede real). AP). A maioria das pessoas não escolhe manualmente um SSID, pois o dispositivo já está conectado ao SSID da rede doméstica. Somente quando você tiver um novo dispositivo, consultará a lista de redes disponíveis, tornando-o suscetível à Engenharia Social
BlueCacti
43

Encontrei um "problema" semelhante no início deste ano ao depurar problemas de conectividade sem fio.

Minha sugestão é uma pergunta: você possui um chromecast ?

Os problemas de conectividade acabaram sendo inteiramente culpa do provedor de serviços, mas eu estava realmente preso nesse SSID de arenque vermelho. Ao usar um aplicativo analisador de intensidade de sinal wifi no meu telefone, localizei-o no chromecast ( que era uma capitalização alternativa do meu SSID wifi ) e houve muito alívio.

EDITAR:. É importante observar que o Chromecast precisa apenas de energia (e não de "internet") para hospedar seu próprio wifi, ele se conectará a um wifi e também ao seu. Você pode se conectar a isso, mas ele não fará nada, a menos que você esteja configurando-o por meio do aplicativo

Cireo
fonte
3
Sim, eu possuo um Chromecast. O endereço MAC do Buts foi adicionado ao roteador original e também não funcionaria quando eu desconectasse o roteador naquela noite.
K. Escolha
Acrescentarei que meu Chromecast também se chama SantoRican, mas como não estava conectado à Internet, o Wifi estava desativado e estava offline. O cara do cabo verificou quando veio consertar o wifi, mas disse que não era isso que estava causando o problema. (mas você nunca sabe que ele pode estar errado).
K. Escolha
1
O @ K.Pick Chromecast pode atuar como um host, para que você possa se conectar a ele com seu telefone e configurá-lo.
emed
2
Esta parece ser a resposta mais provável. Pessoas desonestas poderiam usar outras maneiras mais interessantes e menos óbvias. A "capitalização alternativa" deve estar em negrito, pois essa é a pista mais óbvia em minha opinião.
KalleMP
21
@ K.Pick: Não comece a adivinhar como o chromecast está listado no seu roteador. Simplesmente desconecte o chromecast e verifique se o SSID ainda está lá.
precisa
14

Bem - você parece levar a segurança muito a sério. É possível que alguém esteja tentando enganar as pessoas que ingressam na outra rede. A melhor maneira de começar a analisar isso seria alterar seu SSID para algo diferente - e também bastante específico, por exemplo, uma palavra com alguns dígitos substituindo as letras e ver se esse SSID muda para semelhante ao seu - talvez você seja o st0pthisdeles StopThis. Se você gravar o endereço MAC SSID anteriormente para ver se o outro SSID foi alterado, você pode ficar ainda mais desconfiado.

Uma boa maneira no linux de ver endereços MAC é iwlist YourInterfaceName scanning | egrep 'Cell |Encryption|Quality|Last beacon|ESSID'E é claro que você pode e deve monitorar sua rede quanto a alterações e atividades suspeitas, além de manter suas máquinas atualizadas.

r0berts
fonte
2
@ r0berts Deve implicar escolha com uma forte recomendação.
Wizzwizz4
Eu entendo. Mas, em média, eu diria que as pessoas não sabem como monitorar suas redes, então não faz sentido fazê-las se sentirem culpadas por isso. Mas ponto tomado)
r0berts
1
Mesmo manter seu sistema atualizado com patches e ter alguma higiene básica do computador (bloquear o recebimento por firewall padrão, antivírus atualizado) ajudará muito a garantir a segurança do sistema. Infelizmente, esse é o mínimo necessário hoje para qualquer sistema conectado à Internet. Os dias em que você poderia simplesmente conectar qualquer sistema aleatório à Internet sem precauções, já se foram há muito tempo ...
a CVn
Eu concordo totalmente com isso. Seria ótimo se a complexidade do monitoramento de sua rede pudesse ser reduzida, e isso ainda exige um grande investimento de tempo para aprender isso para sua LAN doméstica.
r0berts
11

Truque simples,

Mude seu SSID e oculte-o para ver o que acontece. Se eles copiarem seu SSID novamente, você saberá que está com problemas.

Modo extremo

Altere seu alcance da rede DHCP local para algo que não é usado na rede aberta

Configure um IP estático, se possível, para que seu PC não possa usar o WiFi aberto

Defina as configurações de WiFi no seu PC para não usar pontos de acesso Wi-Fi abertos

Altere sua senha do WiFi para algo como isto: HSAEz2ukki3ke2gu12WNuSDdDRxR3e

Mude sua senha de administrador no seu roteador apenas para ter certeza. E, finalmente, use um cliente VPN em todos os seus dispositivos (também telefones)

Você usa a filtragem MAC e esse é um bom recurso de segurança de baixo nível. Por fim, use firewall de terceiros e software antivírus e defina as configurações como irritantemente seguras, para que você tenha que aprovar quase todas as ações relacionadas à atividade na Internet ou na rede.

Quando você se acostumar com essas coisas, ficará mais fácil de manter e seu firewall relaxará porque ele aprende com suas ações.

Mantenha-nos informados! :)

MR_Miyati
fonte
10

Sim, é exatamente isso que você pensa: alguém está tentando enganar você para ingressar na rede por engano. Não conecte a ele. Se você perceber que acabou de fazer, execute uma verificação antivírus e remova os dados que você baixou, pois não são confiáveis. Se você também enviou dados confidenciais como uma senha por essa conexão não autorizada, altere-a imediatamente.

Se esse ponto de acesso não desaparecer depois de um tempo, sugiro que você faça um esforço razoável para fazê-lo parar (como pedir a seus vizinhos que parem com isso ou pedir aos filhos que parem). Um dispositivo capaz de mostrar a força do sinal WiFi, como um telefone celular, deve permitir rastrear a localização desse ponto de acesso com precisão suficiente.

Dmitry Grigoryev
fonte
O aplicativo que eu recomendaria para rastrear informações privilegiadas. É criado por pessoas maravilhosas em metageek.
Rowan Hawkins
9

Muitas vezes as pessoas com preocupações de segurança estão apenas sendo paranóicas. Nesse caso, você tem um motivo muito legítimo de preocupação.

Não conclua maliciosamente 100%, pode ser um vizinho experiente em TI tentando fazer uma brincadeira com você, digamos, redirecionando solicitações de sites para sites de piadas. Ou alguém que tentou configurar sua própria rede e acabou imitando a sua (mas estou inclinado a duvidar disso, qualquer roteador hoje em dia terá um requisito de senha por padrão). Mas, basicamente, a pessoa seria capaz de ver muito do seu tráfego, quais sites você visita, o que você envia e recebe, além do que é criptografado (e muito não é criptografado). Isso poderia ser chantagem, espionagem, perseguição. Por outro lado, não é super sofisticado e fácil de descobrir, então quem sabe.

Mais importante, este não é um ataque global em massa genérico por hackers estrangeiros, significa que um ponto de acesso físico está localizado próximo ou em sua casa. Se eu fosse você, eu não fariaalertá-los, mas tente encontrá-lo. Se você tiver uma caixa de fusíveis, desligue a alimentação um curso de cada vez e aguarde cinco minutos e veja se o ponto de acesso desaparece. Isso lhe dirá se é algo em sua casa. Caso contrário, você pode usar a triangulação, a intensidade do sinal com o GPS Logger no telefone e passear pela vizinhança, ou uma Pringles pode descobrir mais ou menos onde está. Você pode encontrar um ex ex com uma faca, uma caixa enterrada ou os filhos nerds de um vizinho. Se eles se importam o suficiente para fazer isso, eles também podem ter um bug de áudio. Primeiro localize geralmente onde está, e se estiver dentro da casa de alguém, convém chamar um guarda-costas do trabalho e bater na porta.

Prumo
fonte
2
Eu também acho que seria interessante descobrir a localização da rede antes que ela seja desligada. A resposta do Chromecast acima pode ser a explicação benigna.
KalleMP
O ssid desapareceu na manhã em que a empresa de Internet veio consertar a rede, então eu acredito que se fosse alguém por perto, eles poderiam ter visto o caminhão e o puxado para baixo.
K. Escolha
2

As outras respostas até agora oferecem o suficiente para você fazer sobre essa situação concreta.

No entanto, deve-se notar que você notou uma situação que pode ser uma tentativa de invadir seus dados privados. Existem outras situações em que esse tipo de ataque é menos detectável. Por exemplo, se o seu vizinho souber sua senha Wifi, o que você poderia ter dito a eles quando eles gentilmente perguntassem, porque eles eram novos em casa e seu próprio uplink ainda não estava pronto. Mas o pior de tudo: se você estiver usando um Wifi não criptografado (ou aquele em que a senha é comumente conhecida) como Hotel ou Airport Wifi, esses ataques serão muito difíceis de detectar, porque o invasor pode configurar o wifi com EXATAMENTE o mesmo configurações (mesma senha e mesmo SSID) e seus dispositivos se conectam automaticamente ao sinal mais forte e nunca informam que você fez uma escolha.

A única opção para se manter seguro é criptografar TODO o seu tráfego. Nunca digite sua senha, endereço de email, número do cartão de crédito ou qualquer outra informação em um site que não seja criptografado por SSL / TLS. Considere downloads de sites não criptografados como comprometidos (malware pode ter sido injetado). Antes de inserir / baixar dados em um site criptografado, verifique se você está no domínio certo (google.com, não giigle.com. O SSL não ajudará se você estiver em um domínio com o qual não deseja conversar). Instale o HTTPS em todos os lugaresou similar Lembre-se de que existem outros serviços além do navegador da web que podem transmitir dados, como um cliente de email IMAP. Verifique se ele também opera apenas em conexões criptografadas. Atualmente, quase não há razão para não criptografar todo o seu tráfego, no entanto, alguns desenvolvedores são muito preguiçosos etc. Se você precisar usar algum aplicativo que não suporte SSL ou uma medida de segurança semelhante, use uma VPN. Observe que o provedor de VPN ainda poderá ler todo o tráfego que não está criptografado, além da criptografia fornecida pela VPN.

ianque
fonte
1

Se for uma tentativa de hacking, está sendo decretada por alguém que é ignorante. Cada SSID pode ser protegido por uma senha de algum tipo e com algum tipo de força criptográfica.

Simplesmente ter outro ponto de acesso configurado com o mesmo nome de um ponto de acesso próximo é o mesmo:

Meu nome é Steve Smith e acabei de me mudar para uma casa. E, como acontece, o nome do meu vizinho é Steve Smith. Mas só porque meu vizinho e eu temos o mesmo nome, não significa que a chave da minha porta funcionará na porta da frente dele ... Nem significa que a chave da minha porta irá se refazer magicamente de forma que ela também funcione na porta dele ...

e ISSO é o quão bobo é realmente em termos de analisar isso de um possível cenário de hackers ...

Suas respostas:

1) Isso é uma manobra de hackers?

 - Maybe, but it won't work.

2) Eles estão tentando usar isso para se infiltrar na minha rede - desde que eu fechei a minha apenas para endereços MAC aprovados - pensando que vou cair e me juntar à rede deles?

 - They might be, but it doesn't matter, since it won't work. 
Michael Sims
fonte
1
Gentilmente fornecer uma solução para OP não apenas comenta
yass
0

A resposta é bastante simples,
se não for a sua, que você pode verificar desativando o chromecast e o roteador (verifique também se os outros pontos de acesso estão desativados).

Se ainda persistir, provavelmente é uma tentativa de monitorar seu tráfego, na maioria dos casos não pode causar nenhum dano, exceto se você usar muitos sites não criptografados (HTTP) em vez de sites criptografados (HTTPS).

Se você usa HTTP, qualquer coisa que enviar será enviada como texto sem formatação, o que significa que, se sua senha for "123abc", eles poderão ver "123abc" também.

Um programa capaz de prejudicar seu tráfego é, por exemplo, o WireShark.

Marnix Mulder
fonte
0

Se fosse uma manobra de hackers, o SSID da rede seria exatamente igual ao seu e aberto - para que você se conecte automaticamente a ele (se eles tiverem um sinal mais forte) e você não notará.

Costumo fazer isso com meus vizinhos nos fins de semana, quando eles estão reproduzindo o youtube em seu laptop ou telefone depois da 1h - basicamente clonam sua rede (apenas um SSID exclusivo é permitido) e coloco uma senha - ele os interrompe quando eles ficam sem sinal e voltam e eles nunca descobriram isso. Eles acham que o Wi-Fi está quebrado novamente.

Se eu o deixasse aberto, nenhuma senha - eles se conectariam e eu seria capaz de executar um redirecionamento de DNS ou um homem no meio do ataque e monitorar sua atividade na rede ou outras coisas que poderiam ser consideradas ilegais - com certeza eles poderiam acessar o IP do meu roteador e veja os dispositivos conectados - mas isso não acontece.

Como analista de segurança, consideraria que um ID de rede como "melhor amigo" simplesmente criou um novo "melhor amigo".

Se fosse um truque real de hackers - seria exatamente o mesmo SSID e rede aberta e você provavelmente não perceberia ao se reconectar ao WiFi, como provavelmente existe uma conexão automática para nomear.

É um truque muito antigo - levar um laptop a uma cafeteria e redirecionar o DNS de um dongle sem fio para o site de login - obter o tráfego das pessoas.

Uma das razões pelas quais os leitores de cartão costumam funcionar sem Wi-Fi e são restritos ao banco - é muito fácil MiM a rede de um Starbuck e mais alguns segundos para assistir ao cache de imagens de todos os dispositivos - hotéis também, que usam repetidores para WiFi estendido.

Esp. nos EUA, onde alguns hotéis nem sequer têm uma senha e são muito altos. Cheire isso em alguns segundos e, às vezes, acesse as máquinas principais da mesa ou o backoffice por telefone.

(Eu tive nomes de rede como "eu te vi nu" e alguém mudou o deles para "eu também" e "eu não quero te ver nu". Ou enviei mensagens - por exemplo, "turnos de trabalho", para que os vizinhos saibam que não há problema em festejar a noite toda, mas, por favor, não me acorde batendo na minha porta para bater um papo, porque eu vou dormir às 08:00.

Um cara
fonte