Evil Twin là một kiểu tấn công Man-in-the-Middle trong đó điểm truy cập giả được sử dụng để theo dõi hoạt động người dùng. Evil Twin hợp pháp hóa bằng cách nhân bản địa chỉ MAC và Name or Service Set Identifier (SSID) của mạng.
Evil Twin sử dụng nhiều chiến thuật cũng như các kịch bản khác nhau tương tự website spoofing
Evil Twin bắt đầu bằng cách nhân bản tạo ra SSID mạng và giả lập các điểm truy cập mạng Wifi an toàn làm người truy cập hiểu nhằm đây là điểm truy cập Wifi như các điểm truy cập bình thường khác.
Khi người dùng kết nối với điểm truy cập Wifi giả mạo này và tin rằng nó đảm bảo an toàn mà không hay biết sự thật là kẻ tấn công đang chặn tất cả lưu lượng giữa người dùng và các kết nối đến máy chủ truy cập, đồng thời đánh cắp dữ liệu cá nhân mà không để lại dấu vết gì.
Hậu quả của việc này đó là thông tin bị đánh cắp nhằm phục vụ hành vi trộm cắp danh tính hoặc tổn thất tài chính, thông tin cá nhân như tài khoản ngân hàng, tài khoản Email, tài khoản Facebook…
Cuộc tấn công này rất hiệu quả vì phần lớn các thiết bị truy cập mạng hiện nay không thể phân biệt các điểm truy cập an toàn hoặc điểm truy cập giả mạo.
Nội dung:
Kịch bản tấn công Evil Twin
Kịch bản tấn công Evil Twin phổ biến nhất mà bạn có thể gặp trong thực tế là kiểu Captive Portals (CP). Nhiều mạng WiFi công cộng sử dụng các website yêu cầu đăng nhập để cấp quyền truy cập. Những thông tin này có thể bị lợi dụng để lừa người dùng. Hãy đi sâu hơn vào những gì xảy ra ở mỗi bước của cuộc tấn công này:
Bước 1: Kẻ tấn công thiết lập điểm truy cập không dây giả
Kẻ tấn công thường chọn một nơi công cộng có nhiều điểm truy cập công cộng, chẳng hạn như sân bay. Những nơi như vậy thường có nhiều điểm truy cập WiFi có cùng tên.
Rất tiện lợi trong việc bạn đi mọi nơi trong khuôn viên sân bay mà không bị ngắt kết nối, nhưng điều đó cũng giúp công việc của kẻ tấn công dễ dàng hơn nhiều khi tạo ra một điểm phát sóng giả có cùng tên WiFi. Ngoài ra nhiều Hacker còn xuất hiện ở gần các nơi công ty doanh nghiệp nhằm thực hiện hướng đến doanh nghiệp.
Bây giờ, kẻ tấn công có thể sử dụng bất cứ thứ gì từ Card mạng, máy tính bảng hoặc máy tính xách tay đến bộ định tuyến di động để tạo điểm phát sóng. Nó khá dễ, tương tự khi bạn sử dụng điện thoại làm điểm phát sóng để chia sẻ kết nối với bạn bè của bạn. Tuy nhiên, họ sử dụng cùng tên SSID.
Dùng cách này bởi vì hầu hết các thiết bị không đủ thông minh để phân biệt điểm truy cập hợp pháp và giả nếu chúng có cùng SSID (Một số kẻ tấn công có thể đi xa hơn bằng cách nhân bản địa chỉ MAC của mạng đáng tin cậy).
Bước 2: Kẻ tấn công tạo Captive Portal giả mạo
Nếu bạn đã từng sử dụng WiFi công cộng, có lẽ bạn đã thấy trang CP. Chúng thường yêu cầu bạn nhập thông tin đăng nhập WiFi. Vấn đề với CP là không có tiêu chuẩn nào về vẻ ngoài của chúng và chúng thường được thiết kế rất đơn giản. Do đó dễ giả mạo.
Những người sử dụng WiFi công cộng đã quá quen với họ theo cách này đến nỗi thật khó để phân biệt sự khác biệt giữa trang hợp pháp và trang giả mạo. Thật không may, nếu bạn gặp phải cái sau, nó sẽ gửi thông tin truy cập WiFi cho kẻ tấn công.
Nếu là WiFi công cộng không có mật khẩu thì kẻ tấn công có thể bỏ qua bước này
Bước 3: Kẻ tấn công khiến nạn nhân kết nối với WiFi Evil Twin
Giờ đây, kẻ tấn công đã có một điểm truy cập và một cổng thông tin giả mạo, chúng cần phải khiến mọi người bỏ kết nối hợp pháp và kết nối với chúng. Điều này có thể được thực hiện theo hai cách:
- Họ tạo ra tín hiệu Wi-Fi mạnh hơn, điều này sẽ dẫn đến việc các thiết bị tự động kết nối với Evil Twin.
- Họ ngắt kết nối tất cả mọi người ra khỏi mạng chính bằng cách làm thực hiện cuộc tấn công de-authentication. Các thiết bị được kết nối với mạng hợp pháp sẽ bị ngắt kết nối, điều này sẽ làm người dùng phải thực hiện kết nối lại. Bây giờ họ sẽ thấy một mạng mới có cùng tên, rất có thể sẽ ghi là “Unsecure”. Điều này sẽ gióng lên hồi chuông cảnh báo cho người dùng nhận biết bảo mật, nhưng nhiều người sẽ gạt đi. Phương pháp này có thể không hoạt động trong môi trường văn phòng, nơi nó sẽ gây nghi ngờ. Những kẻ tấn công tìm cách tránh sự nghi ngờ thường chọn một công cụ phổ biến có tên là bettercap, có thể chạy trên các hệ thống Linux, Mac, Windows và Android.
Bước 4: Kẻ tấn công đánh cắp thông tin đăng nhập
Bây giờ kẻ tấn công có toàn quyền với những dữ liệu người dùng cung cấp khi truy cập WiFi của họ.
Khi một người dùng được kết nối với AP Evil Twin, cuộc tấn công kết thúc. Toàn bộ quá trình này được sử dụng để cho phép kẻ tấn công thiết lập các vị trí MITM từ đó chúng có thể đánh cắp dữ liệu và tiêm phần mềm độc hại hoặc vào kiểm soát các thiết bị nạn nhân từ xa. Khi ở vị trí MITM, kẻ tấn công có toàn quyền kiểm soát WiFi.
Một số cách để bảo vệ trước phương pháp tấn công Evil Twin :
- Vô hiệu hóa tính năng tự động kết nối trên tất cả các thiết bị kết nối không dây.
- Sử dụng Virtual Private Network (VPN) nếu sử dụng điểm truy cập công cộng.
- Cố ý gõ sai khóa. Một số Evil Twin sẽ cấp quyền truy cập vào điểm truy cập bất kể khóa nào được nhập.
- Hạn chế cập WiFi công cộng
- Tuyệt đối không dùng những WiFi không có mật khẩu.
- Không đăng nhập vào bất kỳ tài khoản nào trên WiFi công cộng. Bằng cách này, kẻ tấn công sẽ không thể đánh cắp thông tin đăng nhập của bạn và sử dụng chúng để chống lại bạn.
- Tránh kết nối với các điểm truy cập WiFi có cảnh báo “Unsecure”.
- Sử dụng xác thực 2 yếu tố cho tất cả các tài khoản nào của bạn. Bằng cách này, ngay cả khi kẻ tấn công chiếm được thông tin đăng nhập của bạn, họ vẫn sẽ không thể truy cập tài khoản của bạn.
- Cách tốt nhất để bảo vệ chống lại một cuộc tấn công Evil Twin là biết về chiến thuật này.
