evil twin attacklà gì

evil twin attack là kiểu tấn công Wi-Fi hoạt động bằng cách lợi dụng thực tế là hầu
hết các máy tính và điện thoại sẽ chỉ nhìn thấy "tên" hoặc ESSID của mạng không
dây. Điều này thực sự làm cho rất khó để phân biệt giữa các mạng có cùng tên và
cùng một loại mã hóa. Trên thực tế, nhiều mạng sẽ có một số điểm truy cập mở
rộng mạng, tất cả đều sử dụng cùng một tên để mở rộng truy cập mà không gây
nhầm lẫn cho người dùng.
Nếu bạn muốn xem cách này hoạt động như thế nào, bạn có thể tạo một điểm phát
sóng Wi-Fi trên điện thoại của mình và đặt tên nó giống như mạng gia đình của
bạn và bạn sẽ nhận thấy rằng thật khó để phân biệt giữa hai mạng hoặc máy tính
của bạn có thể đơn giản xem cả hai là cùng một mạng. Một công cụ dò tìm mạng
như Wigle Wifi trên Android hay Kismet có thể thấy rõ sự khác biệt giữa các mạng
này, nhưng đối với người dùng bình thường, các mạng này sẽ giống nhau.
Điều này rất hiệu quả để lừa người dùng kết nối nếu chúng ta có một mạng có cùng
tên, cùng mật khẩu và cùng mã hóa, nhưng nếu chúng ta chưa biết mật khẩu thì
sao? Chúng tôi sẽ không thể tạo một mạng lừa người dùng kết nối tự động, nhưng
chúng tôi có thể thử một cuộc tấn công kỹ thuật xã hội để cố gắng buộc người
dùng cung cấp mật khẩu cho chúng tôi bằng cách khởi động họ khỏi mạng thực.
Sử dụng một cuộc tấn công Captive Portal
Trong một cuộc tấn công kép độc ác kiểu cổng bị khóa, chúng tôi sẽ sử dụng
khuôn khổ tấn công không dây Airgeddon để cố gắng buộc người dùng kết nối với
một mạng mở có cùng tên với mạng mà họ tin tưởng. Cổng cố định là một cái gì
đó giống như màn hình mà bạn nhìn thấy khi kết nối với mạng mở tại quán cà phê,
trên máy bay hoặc tại khách sạn . Màn hình này chứa các điều khoản và điều kiện
là thứ mà mọi người thường thấy và chúng tôi sẽ sử dụng điều đó làm lợi thế của
mình để tạo một trang lừa đảo giống như bộ định tuyến đang cập nhật.
Cách mà chúng tôi lừa nạn nhân làm điều này là làm ngập mạng tin cậy của họ
bằng các gói khử xác thực, khiến nó không thể kết nối với Internet một cách bình
thường. Khi đối mặt với một kết nối internet từ chối kết nối và không cho phép bất
kỳ truy cập internet nào, người dùng khó chịu trung bình sẽ phát hiện ra một mạng
Wi-Fi mở có cùng tên với mạng mà họ không thể kết nối và cho rằng nó có liên
quan đến vấn đề.
Sau khi kết nối với mạng, nạn nhân sẽ được chuyển hướng đến một trang lừa đảo
giải thích rằng bộ định tuyến đã cập nhật và yêu cầu mật khẩu để tiếp tục. Nếu
người dùng cả tin, họ sẽ nhập mật khẩu mạng vào đây, nhưng đó không phải là nơi
niềm vui dừng lại. Nếu nạn nhân bị kích thích bởi sự bất tiện này và nhập sai mật
khẩu, chúng tôi cần đảm bảo rằng chúng tôi có thể phân biệt được mật khẩu sai từ
đúng mật khẩu. Để thực hiện việc này, trước tiên chúng tôi sẽ nắm bắt một cú bắt
tay từ mạng, vì vậy chúng tôi có thể kiểm tra từng mật khẩu mà người dùng cung
cấp cho chúng tôi và cho biết khi nào mật khẩu chính xác được nhập.

Technologically Assisted Social Engineering

Để cuộc tấn công này hoạt động, một số yêu cầu chính cần được đáp ứng. Đầu
tiên, cuộc tấn công này yêu cầu người dùng làm một số điều thiếu hiểu biết. Nếu
mục tiêu bạn đang chọn được biết đến là người hiểu biết về công nghệ, thì cuộc tấn
công này có thể không hoạt động. Người dùng nâng cao hoặc bất kỳ ai được đào
tạo nâng cao nhận thức về an ninh mạng sẽ phát hiện ra cuộc tấn công này đang
diễn ra và rất có thể nhận thức được rằng đó là một cuộc tấn công có phạm vi
tương đối gần. Chống lại một mục tiêu được bảo vệ tốt, bạn có thể mong đợi cuộc
tấn công này sẽ bị phát hiện và thậm chí được khoanh vùng để tìm thấy bạn.
Thứ hai, nạn nhân phải được xác thực thành công từ mạng của họ và đủ bực bội
khi tham gia vào một mạng mở hoàn toàn không rõ nguồn gốc xuất hiện từ đâu và
có cùng tên với mạng mà họ tin tưởng. Hơn nữa, việc cố gắng kết nối với mạng
này (trên macOS) thậm chí còn đưa ra cảnh báo rằng lần cuối cùng mạng được kết
nối, nó có một loại mã hóa khác.
Cuối cùng, nạn nhân phải nhập mật khẩu mạng vào trang lừa đảo đôi khi trông sơ
sài mà họ được chuyển hướng đến sau khi tham gia mạng mở mà kẻ tấn công đã
tạo. Có rất nhiều manh mối có thể khiến người dùng hiểu ra thực tế rằng trang này,
bao gồm ngôn ngữ sai, thương hiệu bộ định tuyến sai (nếu trang lừa đảo đề cập đến
nó), hoặc lỗi chính tả và khắc sâu vào văn bản của trang. Vì các trang bộ định
tuyến thường trông khá xấu nên những chi tiết này có thể không nổi bật đối với bất
kỳ ai không quen với trang quản trị bộ định tuyến của họ trông như thế nào.
Bước 1Đảm bảo bạn có mọi thứ
Để chuẩn bị cho cuộc tấn công điểm truy cập kép độc ác của chúng tôi, chúng tôi
sẽ cần sử dụng Kali Linux hoặc một bản phân phối được hỗ trợ khác. 
Bạn có thể sử dụng Raspberry Pi chạy Kali Linux cho việc này với bộ điều hợp
mạng không dây , nhưng bạn sẽ cần có quyền truy cập vào GUI và không được
SSH vào Pi, vì bạn sẽ cần có thể mở và điều hướng nhiều cửa sổ trong tập lệnh đa
bash này.
Cuối cùng, bạn sẽ cần một bộ điều hợp mạng không dây tốt cho việc này.
Bước 2Cài đặt Airgeddon
Để bắt đầu sử dụng khuôn khổ tấn công không dây Airgeddon, chúng tôi sẽ cần tải
xuống Airgeddon và bất kỳ chương trình cần thiết nào. Nhà phát triển cũng khuyên
bạn nên tải xuống và cài đặt một công cụ có tên CCZE để làm cho đầu ra dễ hiểu
hơn. Bạn có thể làm như vậy bằng cách gõ apt-get install ccze một cửa sổ dòng
lệnh.
Tiếp theo, chúng tôi sẽ cài đặt Airgeddon với git clone .
Sau đó, thay đổi các thư mục và khởi động Airgeddon bằng các lệnh.
Bước 3Định cấu hình Airgeddon
Nhấn Enter để kiểm tra các công cụ khác nhau mà khung công tác Airgeddon dựa
vào. Nếu bạn thiếu bất kỳ thứ gì (nó sẽ thông báo "Lỗi" bên cạnh chúng), bạn có
thể nhấn Y và Enter ở lời nhắc để thử và tự động cài đặt bất kỳ thứ gì còn thiếu,
nhưng điều đó thường không hoạt động.
Thay vào đó, hãy mở một cửa sổ đầu cuối mới và nhập công cụ apt-get install ,
thay thế "công cụ" cho tên của công cụ bị thiếu. Nếu điều đó không hiệu quả, bạn
cũng có thể thử công cụ cài đặt pip sudo . Bạn nên cài đặt tất cả các công cụ, nếu
không, bạn có thể gặp sự cố trong quá trình tấn công, đặc biệt nếu bạn
thiếu dnsspoof .
Khi bạn có tất cả các công cụ, hãy chuyển sang bước tiếp theo bằng cách
nhấn Enter . Tiếp theo, tập lệnh sẽ kiểm tra quyền truy cập internet để nó có thể tự
cập nhật nếu có phiên bản mới hơn.
Khi hoàn tất, nhấn Enter để chọn bộ điều hợp mạng sẽ sử dụng. Nhấn số trên bàn
phím của bạn tương ứng với bộ điều hợp mạng trong danh sách, sau đó
nhấn Enter .
Sau khi chúng tôi chọn bộ điều hợp mạng không dây của mình, chúng tôi sẽ tiến
tới menu tấn công chính.
Nhấn 2 và Enter để đưa thẻ không dây của bạn vào chế độ màn hình. Tiếp theo,
chọn tùy chọn 7 và Enter cho menu "Cuộc tấn công của Evil Twin", và bạn sẽ thấy
menu con cho mô-đun tấn công này xuất hiện.
Bước 4Chọn mục tiêu
Bây giờ chúng ta đang ở trong mô-đun tấn công của mình, hãy chọn tùy
chọn 9 và Enter cho "Cuộc tấn công Evil Twin AP với một cổng bị giam
giữ." Chúng tôi sẽ cần khám phá các mục tiêu, vì vậy hãy nhấn Enter , và bạn sẽ
thấy một cửa sổ xuất hiện hiển thị danh sách tất cả các mạng được phát hiện. Bạn
sẽ cần đợi một chút để điền danh sách tất cả các mạng lân cận.
Sau khi nó chạy khoảng 60 giây, hãy thoát ra khỏi cửa sổ nhỏ và danh sách các
mục tiêu sẽ xuất hiện. Bạn sẽ nhận thấy rằng các mạng có người đang sử dụng
chúng xuất hiện bằng màu vàng với dấu hoa thị bên cạnh. Điều này là cần thiết vì
bạn không thể lừa ai đó cung cấp cho bạn mật khẩu nếu không có ai trên mạng
ngay từ đầu.
Bước 5Thu thập cái bắt tay
Bây giờ, chúng tôi sẽ chọn loại tấn công hủy xác thực mà chúng tôi muốn sử dụng
để loại bỏ người dùng khỏi mạng đáng tin cậy của họ. Tôi đề xuất tùy chọn thứ hai,
"Tấn công phát sóng Deauth " , nhưng các cuộc tấn công khác nhau sẽ hoạt động
tốt hơn tùy thuộc vào mạng.
Nhấn Enter khi bạn đã lựa chọn xong và bạn sẽ được hỏi có muốn bật chế độ theo
đuổi DoS hay không, chế độ này cho phép bạn theo dõi AP nếu nó chuyển sang
kênh khác. Bạn có thể chọn có ( Y ) hoặc không ( N ) tùy thuộc vào sở thích của
mình, sau đó nhấn Enter . Cuối cùng, bạn sẽ chọn N để sử dụng giao diện có truy
cập internet. Chúng tôi sẽ không cần đến cuộc tấn công này và nó sẽ làm cho cuộc
tấn công của chúng tôi trở nên linh hoạt hơn để không cần nguồn internet.
Tiếp theo, nó sẽ hỏi bạn xem bạn có muốn giả mạo địa chỉ MAC của mình trong
cuộc tấn công hay không. Trong trường hợp này, tôi đã chọn N cho "không".
Bây giờ, nếu chúng ta chưa có một cái bắt tay cho mạng này, chúng ta sẽ phải bắt
một cái ngay bây giờ. RẤT cẩn thận để không vô tình chọn Y cho "Bạn đã có tệp
Bắt tay được chụp chưa?" nếu bạn không thực sự bắt tay. Không có cách nào rõ
ràng để quay lại tập lệnh mà không khởi động lại nếu bạn mắc lỗi này.
Vì chúng ta chưa bắt tay, hãy nhập N để không và nhấn Enter để bắt đầu chụp.
Khi quá trình chụp bắt đầu, một cửa sổ có văn bản màu đỏ gửi các gói deauth và
một cửa sổ có văn bản màu trắng lắng nghe những cái bắt tay sẽ mở ra. Bạn sẽ cần
phải đợi cho đến khi bạn nhìn thấy "WPA Handshake:" và sau đó là địa chỉ BSSID
của mạng được nhắm mục tiêu của bạn. Trong ví dụ dưới đây, chúng tôi vẫn đang
chờ đợi một cái bắt tay.

Khi bạn thấy rằng bạn đã bắt tay, bạn có thể thoát ra khỏi cửa sổ Chụp Bắt
tay . Khi tập lệnh hỏi bạn liệu bạn có bắt tay hay không, hãy chọn Y và lưu tệp bắt
tay. Tiếp theo, chọn vị trí để bạn ghi mật khẩu bị đánh cắp và bạn đã sẵn sàng đến
bước cuối cùng của việc định cấu hình trang lừa đảo.
Bước 6Thiết lập trang lừa đảo
Trong bước cuối cùng trước khi phát động cuộc tấn công, chúng tôi sẽ đặt ngôn
ngữ của trang lừa đảo. Trang được cung cấp bởi Airgeddon khá tốt để thử nghiệm
kiểu tấn công này. Trong ví dụ này, chúng tôi sẽ chọn 1 cho tiếng Anh. Khi bạn đã
lựa chọn xong, hãy nhấn Enter , và cuộc tấn công sẽ bắt đầu với sáu cửa sổ mở ra
để thực hiện đồng thời các chức năng khác nhau của cuộc tấn công.
Bước 7Nắm bắt thông tin đăng nhập mạng
Với cuộc tấn công đang diễn ra, nạn nhân nên bị loại khỏi mạng của họ và xem
mạng giả của chúng tôi là lựa chọn duy nhất có vẻ quen thuộc. Hãy kiên nhẫn và
chú ý đến trạng thái mạng trong cửa sổ trên cùng bên phải. Điều này sẽ cho bạn
biết khi nào một thiết bị tham gia vào mạng, cho phép bạn xem bất kỳ lần nhập mật
khẩu nào mà chúng thực hiện khi chúng được chuyển đến cổng bị khóa.
Khi nạn nhân tham gia vào mạng của bạn, bạn sẽ thấy một loạt các hoạt động như
trong hình bên dưới. Ở góc trên cùng bên phải, bạn sẽ có thể thấy mọi lần nhập mật
khẩu không thành công, được kiểm tra dựa trên lần bắt tay mà chúng tôi thu thập
được. Điều này sẽ tiếp tục cho đến khi nạn nhân nhập mật khẩu chính xác và tất cả
các yêu cầu internet của họ (nhìn thấy trong hộp văn bản màu xanh lá cây) sẽ
không thành công cho đến khi họ làm như vậy.
Khi nạn nhân hang động và cuối cùng nhập đúng mật khẩu, các cửa sổ sẽ đóng lại
ngoại trừ cửa sổ trên cùng bên phải. Mạng giả sẽ biến mất và nạn nhân sẽ được tự
do kết nối lại với mạng không dây đáng tin cậy của họ.
Thông tin đăng nhập sẽ được hiển thị trong màn hình Điều khiển trên cùng bên
phải và bạn nên sao chép và dán mật khẩu vào tệp để lưu, trong trường hợp tập
lệnh không lưu tệp chính xác. Điều này đôi khi xảy ra, vì vậy hãy đảm bảo không
quên bước này, nếu không bạn có thể mất mật khẩu vừa chụp.
Sau đó, bạn có thể đóng cửa sổ và đóng công cụ bằng cách nhấn Ctrl + C. Nếu
chúng tôi nhận được thông tin xác thực hợp lệ trong bước này, thì cuộc tấn công
của chúng tôi đã hoạt động và chúng tôi đã có mật khẩu Wi-Fi bằng cách lừa người
dùng gửi nó đến trang lừa đảo AP giả mạo của chúng tôi!
Bảo vệ chống lại một cuộc tấn công của evil twin attack
Cách tốt nhất để phòng thủ trước evil twin attack là biết về chiến thuật và biết rằng
các dấu hiệu của một cuộc tấn công của chúng sẽ khiến bạn rất nghi ngờ. Nếu bạn
đột ngột mất khả năng kết nối với mạng đáng tin cậy của mình và đột nhiên nhìn
thấy một mạng không dây đang mở có cùng tên, đây không phải là sự trùng hợp
ngẫu nhiên cũng không phải là một sự kiện bình thường.
Không bao giờ kết nối với mạng không dây không xác định giả vờ là của bạn, đặc
biệt là mạng không có mã hóa. Nếu bạn nghi ngờ bộ định tuyến của mình đang
thực sự cập nhật, hãy tắt Wi-Fi và cắm trực tiếp vào Ethernet của bộ định tuyến để
xem sự cố là gì.