Questão SSID com nome muito parecido, isso é uma tentativa de hacking?


Eu notei que outro SSID aparece no meu WiFi com o mesmo nome que o meu (muito pessoal, só poderia ter sido intencionalmente copiado), mas algumas letras são maiúsculas. Sua versão não tem segurança. O meu tem WPA-PSK2. Eu testei para ter certeza, desligando meu roteador e enquanto o meu desapareceu depois de um tempo, o deles permaneceu.

Isso é uma manobra de hackers? Eles estão tentando usar isso para se infiltrar na minha rede - desde que eu fechei o meu apenas para endereços MAC aprovados - pensando que eu vou escorregar e me juntar à sua rede?

Exemplo:

  • Meu SSID: bestfriend
  • Seu SSID: BestFriend (com capital B & F)

140


origem


mais pessoas devem levar a segurança a sério. É possível, se for um ataque direcionado, chamarmos esses pontos de acesso invasores, onde você imita o nome de outra pessoa e verifica se os clientes se conectam a ela. Mas precisaremos de mais informações, qual é exatamente o nome da sua rede (ESSID) e quantas pessoas a usam? Esta rede pessoal é? quem mais conhece essa rede? sua namorada tem um ex que quer voltar com ela? você tem a idéia ... alguns detalhes seriam bons. - Nalaurien
... talvez eles estejam apenas educadamente pedindo para você alterar a capitalização do seu SSID para um "mais correto", porque isso os incomoda quando eles o veem em sua lista de redes disponíveis? Eu posso me imaginar fazendo isso ... "Nunca atribua à malícia aquilo que é adequadamente explicado por nitpicking extremo" (?) - xDaizu
Conecte-se à rede com uma máquina descartável e tente verificar toda a sub-rede com o nmap para ver o que eles estão fazendo. - André Borie
Poderia ser apenas um acaso. Você ficaria surpreso com a popularidade de alguns SSIDs (por exemplo, variações do "FBI Surveillance Van"). - Mark
pise com cuidado e não ignore erros de SSL / TLS! - n00b


Respostas:


Sim, é mais provável que seja algum truque de hackers, embora seja um palpite a respeito do motivo.

Eu indico que bloquear seu roteador para endereços MAC específicos pode fornecer um pouquinho de segurança, mas não muito.

Também é improvável que suas ações sejam projetadas para hackear sua rede - elas são mais propensas a tentar capturar seu tráfego.

Se fosse eu, eu tiraria proveito deles - eu obteria uma VPN barata e algum hardware dedicado (PC de baixa especificação, disco rígido grande), conectaria-a à VPN e à sua rede e consumiria muito. Como você está usando uma VPN, eles não poderão interceptar seu tráfego, mas você pode consumir toda a largura de banda até que eles sejam ativados. (E você tem uma negação plausível "Ei, eu pensei que estava conectado ao meu AP - eu usei o SSID do meu dispositivo)

Algumas outras coisas para pensar - É concebível que ambos os APs sejam realmente seus - um na banda de 2,4 gigabytes, um na banda de 5 gigabytes e a banda de 5 gigabytes simplesmente não é criptografada. Verifique a configuração do seu roteador para descartar isso e / ou algum tipo de Wifi Analyzer (há alguns disponíveis na Play Store para Android) para ajudá-lo a descobrir de onde os sinais estão vindo, observando a força do sinal.

Cuidado com os pacotes de autenticação. Se eles estão tentando hackear seus sistemas, não me surpreenderia se eles estivessem tentando enviar pacotes de autenticação para interferir em suas conexões para aumentar a chance de alguém na sua rede tentar se conectar a eles.


130



Ele menciona que ele desconecta o roteador e a outra rede permanece, isso exclui a banda de 5gig. - LPChip
Como isso é negação plausível? Você estava liberando a largura de banda em um computador barato que você comprou em uma VPN que você normalmente nunca usa. Você está tentando mentir para uma criança de 5 anos ou para um juiz? - Mehrdad
@Mehrdad A negação plausível existe quando o seu vizinho tentava enganá-lo para se conectar ao AP - e você se apaixona por ele. Meu vizinho se comporta como um hacker, então é totalmente razoável conseguir uma VPN para me proteger. (Além disso, eu não preciso mentir para um juiz, a outra parte é a que faz a reivindicação - meu advogado poderia simplesmente semear as sementes da dúvida). Estou curioso sobre o que pensam melhor as mentes legais, então eu coloquei isso em uma pergunta no law.se (law.stackexchange.com/questions/19482/…) - davidgo
@Mehrdad Se eu vou mentir sobre hacking de rede, eu vou me arriscar em um juiz antes de uma criança de cinco anos! - Auspex
Independentemente da "negação plausível", considero antiético defender tal comportamento obscuro, especialmente porque, dependendo da jurisdição, pode ser inteiramente legal conectar-se a um ponto de acesso aberto. - StockB


Parece-me que isso é algo chamado "Gémeo mau".

Basicamente, o atacante cria uma rede que imita a sua para que você (ou sua máquina por si só) se conecte a ela. Ele alcança isso, como disse o davidgo, enviando pacotes de autorização para seu roteador para que você tenha que se reconectar. Ao mudar o endereço MAC do seu próprio roteador para o seu, o seu computador automaticamente se conecta à rede de invasores (dado que seu sinal é mais forte). Isso permite que o invasor o prejudique ainda mais por ataques do tipo Man-In-The-Middle ou por um DNS falso que redireciona sites comuns para sites de phishing.

Agora você poderia fazer alguma ciência aqui e tentar provar que este é realmente um invasor com más intenções e reportá-lo, ou simplesmente tirar proveito do "tráfego livre", mas como pode haver alguns truques de DNS acontecendo, você pode arriscar dar informações confidenciais quando não estiver tomando cuidado ao preencher formulários.


56



Normalmente, um gêmeo do mal corresponde exatamente ao SSID. Eu acho que capitalizando certas letras, eles estão tentando um pouco do Social Engineer em potencial vítimas e fazer o SSID não capitalizado parecer o clone ruim. "Olhe para este clone sem legalização! Está fazendo um trabalho ruim ao me fazer clicar nele. Obviamente, eu deveria clicar no capitalizado que parece mais oficial com algum pensamento colocado em nome dele." - Corey Ogburn
Por que o invasor se incomodaria com um SSID (suspeito) se ele pudesse fazer com que seu dispositivo se conectasse ao seu roteador automaticamente falsificando o endereço MAC? - JimmyB
@JimmyB Provavelmente porque o invasor não consegue gerenciar a condição "dado que seu sinal é mais forte". Então, ao invés de ir para o computador que não está cooperando, eles vão para o humano desatento. - Kevin Fee
Se o mecanismo de autenticação de segurança não for exatamente o mesmo da rede sem fio original, o computador não se conectará à rede falsa, mesmo que o sinal seja mais forte. - pHeoz
@JimmyB Depois que um dispositivo se conecta ao seu SSID falso, você não precisa falsificar nenhum endereço MAC. Em um ataque de Evil Twin, você tenta atrair a vítima para sua rede sem fio, dando-lhe o mesmo SSID e interferindo nos clientes que se conectam ao real (interrompendo o sinal ou - mais comumente - forçando-os a se autenticarem do real). AP). A maioria das pessoas não escolhe um SSID manualmente, pois seu dispositivo já está conectado ao SSID de sua rede doméstica, somente quando você tem um novo dispositivo, você procurará pela lista de redes disponíveis, tornando-o suscetível à Engenharia Social. - GroundZero


Eu me deparei com um "problema" semelhante no início deste ano enquanto depurava problemas de conectividade sem fio.

Minha sugestão é uma pergunta: você tem um chromecast??

Os problemas de conectividade acabaram sendo totalmente culpa do provedor de serviços, mas eu estava realmente preso nesse SSID de arenque vermelho. Ao usar um aplicativo analisador de força de sinal wifi no meu telefone, eu o rastreei até o chromecast (que foi uma capitalização alternativa do meu SSID wifi), e houve muito alívio.

EDITAR:. É importante observar que o Chromecast só precisa de energia (não de "internet") para hospedar seu próprio Wi-Fi. Ele se conecta a um Wi-Fi e hospeda o seu próprio. Você pode se conectar a isso, mas não faz nada, a menos que você esteja configurando-o por meio do aplicativo


43



Sim, eu possuo um Chromecast. Mas o endereço MAC é adicionado ao roteador original e também não funcionaria quando eu desconectei o roteador naquela noite. - K. Pick
Vou acrescentar que o meu Chromecast é chamado SantoRican também, mas desde que ele não estava conectado à internet o Wi-Fi estava para baixo, estava offline. O cara do cabo verificado quando ele veio para consertar o wifi, mas disse que não era o que estava causando o problema. (mas você nunca sabe que ele pode estar errado) - K. Pick
@ K.Pick Chromecast pode atuar como host, para que você possa se conectar a ele com o seu telefone e configurá-lo. - emed
Esta parece ser a resposta mais provável. Pessoas desonestas poderiam usar outras formas mais interessantes e menos óbvias. o "capitalização alternativa" deve estar em negrito como esta é a pista mais óbvia na minha opinião. - KalleMP
@ K.Pick: não comece a adivinhar como o chromecast está listado no seu roteador. Basta desconectar o chromecast e verificar se o SSID ainda está lá. - yankee


Bem, você parece estar levando a segurança muito a sério. É possível que alguém esteja tentando enganar as pessoas que ingressam na outra rede. A melhor maneira de começar a olhar para isto seria mudar o seu SSID para algo diferente - e também bastante específico, por exemplo, uma palavra com alguns dígitos substituindo letras e ver se o SSID muda para o seu - talvez você seja st0pthis e deles StopThis. Se você gravar seu endereço MAC SSID de antemão para ver se o outro SSID mudou, você pode ser ainda mais suspeito.

Uma boa maneira no linux para ver endereços MAC é iwlist YourInterfaceName scanning | egrep 'Cell |Encryption|Quality|Last beacon|ESSID' E é claro que você pode e, de fato, deve monitorar sua rede em busca de alterações e atividades suspeitas, além de manter suas máquinas atualizadas.


14



@ r0berts Deve implicar escolha com uma forte recomendação. - wizzwizz4
Eu entendo. Mas, em média, eu diria que as pessoas não sabem como monitorar suas redes, então não adianta fazê-las se sentirem culpadas por isso. Mas ponto levado) - r0berts
Até mesmo manter seu sistema atualizado com patches e ter alguma higiene básica do computador (firewall de entrada bloqueada por padrão, antivírus atualizado) irá caminho muito longo para garantir que seu sistema esteja seguro. Infelizmente, esse é o mínimo necessário atualmente para qualquer sistema conectado à Internet. Os dias em que você poderia simplesmente conectar qualquer sistema aleatório à Internet sem nenhuma precaução há muito tempo ... - Michael Kjörling
Eu concordo totalmente com isso. Seria ótimo se a complexidade de monitorar sua rede pudesse ser reduzida, isso ainda requer um enorme investimento de tempo para aprender isso em sua LAN doméstica. - r0berts


Truque simples,

Mude seu SSID e oculte o que acontece. Se eles copiarem seu SSID novamente, você saberá que está com problemas.

Modo extremo

Alterar seu alcance de rede DHCP local para algo que não é usado na rede aberta

Configure um IP estático, se possível, para que o seu PC não possa usar o WiFi aberto

Configure suas configurações de WiFi no seu PC para não usar hotspots WiFi abertos

Altere sua senha do WiFi para algo assim: HSAEz2ukki3ke2gu12WNuSDdDRxR3e

Altere sua senha de administrador no seu roteador apenas para ter certeza. E finalmente use um cliente VPN em todos os seus dispositivos (também telefones)

Você usa o filtro MAC e esse é um bom recurso de segurança de baixo nível. Finalmente, use o firewall de terceiros e o software antivírus e defina as configurações para que sejam irritantemente seguras, de modo que você tenha que aprovar quase todas as ações que tenham que fazer alguma coisa com a Internet ou atividade de rede.

Uma vez que você se acostumar com essas coisas, ficará mais fácil de manter e seu firewall relaxará porque aprenderá com suas ações.

Mantenha-nos informados! :)


11





Sim, isso é exatamente o que você pensa: alguém está tentando enganá-lo para entrar em sua rede por engano. Não se conecte a ele. Se você perceber que acabou de fazer, execute uma verificação antivírus e remova todos os dados que baixou, pois não são confiáveis. Se você também enviou dados confidenciais, como uma senha, por essa conexão desonesta, altere-a imediatamente.

Se esse ponto de acesso não for embora depois de um tempo, sugiro que você faça um esforço razoável para fazê-lo parar (como pedir aos vizinhos para pararem com isso ou dizer aos filhos para pararem). Um dispositivo capaz de mostrar a intensidade do sinal WiFi, como um celular, deve permitir que você rastreie a localização deste ponto de acesso com precisão suficiente.


10



O aplicativo que eu recomendaria para rastreá-lo para baixo inssider. É criado pelas pessoas maravilhosas na metageek. - Rowan Hawkins


Muitas vezes as pessoas com preocupações de segurança estão apenas paranóicas. Nesse caso, você tem uma causa legítima de preocupação.

Não conclua a malícia 100%, poderia ser um vizinho experiente em TI tentando fazer uma brincadeira com você, digamos, redirecionando as solicitações do site para um site de piadas. Ou alguém que tentou configurar sua própria rede e acabou de imitar a sua (mas estou inclinado a duvidar que, qualquer roteador hoje em dia terá um requisito de senha por padrão). Mas basicamente, a pessoa seria capaz de ver muito do seu tráfego, quais sites você visita, o que você envia e recebe, além do que é criptografado (e muito não é criptografado). Isso poderia ser por chantagem, espionagem, perseguição. Por outro lado, não é super sofisticado e fácil de descobrir, então quem sabe.

Mais importante, isso não é um ataque global de massa genérico por hackers estrangeiros, isso significa que um ponto de acesso físico está localizado perto ou em sua casa. Se eu fosse você, eu faria não alertá-los, mas tente encontrá-lo. Se você tiver uma caixa de fusíveis, desligue a alimentação um curso por vez, espere cinco minutos e veja se o ponto de acesso desaparece. Isso vai te dizer se é algo em sua casa. Caso contrário, você pode usar a triangulação, a força do sinal com o logger do GPS no seu telefone e dar um passeio pelo bairro, ou um Pringles pode descobrir mais ou menos onde está. Você pode encontrar um antigo ex com uma faca, uma caixa enterrada ou os filhos nerds de um vizinho. Se eles se importam o suficiente para fazer isso, eles também podem ter um bug de áudio. Primeiro rastreie geralmente onde está, e se estiver dentro da casa de alguém, então você pode querer chamar um guarda-costas do trabalho e ir bater nas portas.


9



Eu também acho que seria interessante descobrir a localização da rede antes que ela seja desligada. No entanto, a resposta do Chromecast acima pode ser a explicação benigna. - KalleMP
O ssid desapareceu na manhã em que a empresa de Internet veio a consertar a rede, então acredito que se fosse alguém por perto, eles poderiam ter visto o caminhão e o puxado para baixo. - K. Pick


As outras respostas até agora lhe dão o suficiente para fazer sobre esta situação concreta.

No entanto, deve-se notar que você percebeu uma situação que pode ser uma tentativa de invadir seus dados privados. Existem outras situações em que esse tipo de ataque é menos detectável. Por exemplo. se o seu vizinho souber a sua Senha Wifi, o que você poderia ter dito a eles quando eles gentilmente perguntaram, porque eles eram novos na casa e o próprio uplink ainda não estava pronto. Mas o pior de tudo: se você estiver em um Wi-Fi não criptografado (ou um onde a senha é comumente conhecida) como Hotel ou Airport Wifi, esses ataques serão muito difíceis de detectar, porque o atacante pode configurar o wifi exatamente com o mesmo configurações (mesma senha e mesmo SSID) e seus dispositivos se conectarão automaticamente ao sinal mais forte e nunca lhe dirão que fez uma escolha.

A única opção para se manter seguro é criptografar todo o seu tráfego. Nunca insira sua senha, endereço de e-mail, número de cartão de crédito ou qualquer outra informação em um site que não seja criptografado por SSL / TLS. Considere os downloads de sites não criptografados como comprometidos (malwares poderiam ter sido injetados). Antes de inserir / baixar dados em um site criptografado, verifique se você está no domínio certo (google.com, não giigle.com. O SSL não ajudará se você estiver em um domínio com o qual não deseja conversar). Instalar HTTPS em todo lugar ou algo semelhante Lembre-se também de que existem outros serviços além do navegador que podem transmitir dados, como um cliente de e-mail IMAP. Certifique-se de que também funcione apenas em conexões criptografadas. Hoje em dia, não há praticamente nenhum motivo para não criptografar todo o seu tráfego, no entanto, alguns desenvolvedores são apenas para preguiça, etc Se você precisar usar algum aplicativo que não suporta SSL ou uma medida de segurança semelhante, use uma VPN. Observe que o provedor de VPN ainda poderá ler todo o tráfego que não estiver criptografado, além da criptografia fornecida pela VPN.


2





E SE é uma tentativa de hacking, está sendo decretada por alguém que é ignorante. Cada SSID pode ser protegido por uma senha de algum tipo e com algum tipo de força criptográfica.

Simplesmente ter outro ponto de acesso configurado com o mesmo nome de um ponto de acesso próximo é a mesma coisa que isso:

Meu nome é Steve Smith e acabei de me mudar para uma casa. E como   acontece ser verdade, o vizinho do meu vizinho   o nome é Steve Smith. Mas só porque meu vizinho e eu temos o mesmo   nome, não significa que a chave para a porta da frente funcionará em sua frente   porta ... Nem significa que a minha chave da porta magicamente re-chave   em si, para que também funcione na sua porta ...

e é assim que isso é bobo em termos de olhar isso de um possível cenário de hackers ...

Suas respostas:

1) Isso é uma manobra de hackers?

 - Maybe, but it won't work.

2) Eles estão tentando usar isso para se infiltrar na minha rede - desde que eu fechei o meu apenas para endereços MAC aprovados - pensando que eu vou escorregar e me juntar à sua rede?

 - They might be, but it doesn't matter, since it won't work. 

1



Por favor, forneça uma solução para OP não apenas comentários - yass


A resposta é bastante simples,
E SE não é seu, o que você pode verificar desabilitando o chromecast e seu roteador (verifique também se outros APs estão desativados).

Se ainda persistir, é mais provável que uma tentativa de monitorar seu tráfego, na maioria dos casos, não cause nenhum dano, exceto se você usar muitos sites não criptografados (HTTP) em vez dos criptografados (HTTPS).

Se você usar HTTP, qualquer coisa que enviar será enviada como texto simples, significando que, se a sua senha for "123abc", eles poderão ver "123abc" também.

Um programa que é capaz de minar o seu tráfego é, por exemplo, WireShark.


0