Segurança - Evil Twin - artigo muito bom, parabens para o autor!

 

Ataque Evil Twin

 


Evil Twin (também conhecido como “gêmeo malvado”) é um tipo de ataque Wi-Fi, semelhante a spoofing de site e ataques de phishing por e-mail.

Esta técnica (que não é nova), é basicamente uma versão wireless dos ataques phising scam: usuários pensam que se conectaram a um hotspot legítimo, mas na realidade, estão se conectando a um servidor malicioso que pode monitorar e obter dados digitados pelo usuário.

Em outras palavras, cyber atacantes podem obter todas as informações sem o conhecimento do usuário. Evil Twin parece um Hotspot, mas com um forte sinal.



Uma das ultimas opções para ganhar acesso ao WPA/WPA2 deve ser esse ataques.

A idéia é:
  1. Iniciar um honeypot com o mesmo nome que a internet do alvo
  2. desconectar o alvo
  3. Esperar que ele se conecte no Honeypot
  4. Automaticamente solicitar as credenciais da vítima


Podemos fazer tudo isso manualmente, e explicarei em outros posts como criar uma falsa página de login, mas há uma ferramenta chamada Fluxion que automatiza todo o processo. Eu não gosto de utilizar uma ferramenta que automatiza tudo sem entender o que acontece por traz, por isso farei outro post explicando passo a passo como fazer esse ataque manualmente.

O Fluxion faz:

  1. inicia o Fake AP com o mesmo nome
  2. Inicia um Web server com a página falsa de Login
  3. Desconecta todos os clientes dessa rede
  4. mostra o Login quando o cliente entra no Fake AP
  5. Verifica se a senha está correta

Iremos instalar a versão dois do Fluxion pois ela é mais estável, mas já tem a versão 3

A ferramenta:

Instalação

Fazer o clone do github no site https://github.com/wi-fi-analyzer/fluxion

Agora instalar no opt

cd /opt
git clone https://github.com/wi-fi-analyzer/fluxion.git

> ls
> cd fluxion
> ls
> cd install
> ls
> bash install.sh

Agora fazer o comando

ls
bash fluxion.sh



E essa é a tela inicial


Utilizando Fluxion

Precisamos estar na pasta do Fluxion
cd /opt/fluxion/
ls
bash fluxion.sh

Na tela inicial escolhemos o idioma
1

Segunda Tela em ingles


Podemos escolher todos os canais ou um específico
Vamos escolher All channels
1

Automaticamente ele abre uma janela airodump-ng


Clique na rede que você quer e control c para voltar a tela do fluxion, escolhemos a rede UPC723762


A rede UPC723762 no canal 1 com o ID 1 e segurança WPA2

O que precisamos fazer agora é somente digitar o ID que nos interessa
3


Agora ele pergunta qual o método que queremos gerar o FakeAP

Hostapd utiliza todas as ferramentas que citamos e a ultima opção somente utiliza airbase-ng
Vamos escolher o completo
1


Agora ele pede para dizermos onde está gravado o handshake, o motivo é porque o fluxion irá verificar a senha para ver se está correta. Pode-se pular essa etapa ou continuar. Eu explico em outro post sobre aircrack-ng como conseguir handshake.

escrevemos o caminho
/root/handshake-01.cap

Ele diz que há um problema, mas não há. O próprio fluxion sigere verificar novamente e digitamos
yes


Próxima tela


Podemos criar um certificado SSL ou procurar por um, vamos criar um

1

Na próxima tela escolher Web interface
1


Podemos ver diversas opções de interfaces genéricas baseadas no idioma para aparecer ao alvo, mas também tem interfaces de roteadores

Por exemplo se o roteador é um TP-Link só precisa digitar o número dele
33

E a ferramenta faz tudo automaticamente


Todos os ataques são feitos agora voltando ao Windows da vítima


Vemos a rede UPC723762 real na qual fomos desconectado e outra acima com o mesmo nome, é o gêmeo mal.

Se o alvo tentar conectar nela não funcionará e vai ficar tentando para sempre


A vítima, sem sucesso vai cancelar e tentar entra na outra rede com o nome que ela conhece.

Conectando abre-se o navegador com uma página de login do roteador


Podemos ver que a página não está boa depois veremos como melhorar ela. Clicando para conectar

Qualquer página que entrar vai ser enviado para essa página solicitando Login


Após a senha aparece uma barra como se estivesse atualizando algo

Voltando ao Kali podemos ver a senha já confirmada




Como se proteger?
Use EvilAP_Defender. É um aplicativo que ajuda um administrador de rede sem fio a descobrir e evitar que os Evil Access Points (AP) ataquem usuários sem fio.
O aplicativo pode ser executado em intervalos regulares para proteger sua rede sem fio do ataque do Evil Twin. Ao configurar a ferramenta, você pode receber notificações enviadas para o seu email sempre que um ponto de acesso maligno for descoberto.
A ferramenta é capaz de descobrir Evil APs usando uma das seguintes características:
  • Evil AP com um endereço BSSID diferente;
  • Evil AP com o mesmo BSSID que o AP legítimo, mas com um atributo diferente (incluindo: canal, cifra, protocolo de privacidade e autenticação);
  • Evil AP com o mesmo BSSID e atributos, tal como o AP legítimo, mas um parâmetro diferente – principalmente OUI diferente (os parâmetros marcados são valores adicionais enviados juntamente com o beacon frame. Atualmente, nenhum AP baseado em software permite alterar esses valores. Geralmente, APs baseadas em softwares são bem pobres nesta área).

Sempre que um Evil AP for descoberto, a ferramenta irá alertar o administrador por email (envio de SMS será suportado em breve). Além disso, a ferramenta entrará no modo preventivo no qual a ferramenta DoS, os usuários da rede sem fio legítima se conectarão ao Evil AP descoberto. A ferramenta pode ser configurada facilmente começando no que chamamos de “Learning Mode”. Neste modo, você pode listar sua rede legítima.
  • Não use Wi-Fi público;
  • Sempre conecte-se à Internet através de uma VPN privada.




Postagens mais visitadas