Professional Documents
Culture Documents
Evil Twin Attacklà Gì
Evil Twin Attacklà Gì
evil twin attack là kiểu tấn công Wi-Fi hoạt động bằng cách lợi dụng thực tế là hầu
hết các máy tính và điện thoại sẽ chỉ nhìn thấy "tên" hoặc ESSID của mạng không
dây. Điều này thực sự làm cho rất khó để phân biệt giữa các mạng có cùng tên và
cùng một loại mã hóa. Trên thực tế, nhiều mạng sẽ có một số điểm truy cập mở
rộng mạng, tất cả đều sử dụng cùng một tên để mở rộng truy cập mà không gây
nhầm lẫn cho người dùng.
Nếu bạn muốn xem cách này hoạt động như thế nào, bạn có thể tạo một điểm phát
sóng Wi-Fi trên điện thoại của mình và đặt tên nó giống như mạng gia đình của
bạn và bạn sẽ nhận thấy rằng thật khó để phân biệt giữa hai mạng hoặc máy tính
của bạn có thể đơn giản xem cả hai là cùng một mạng. Một công cụ dò tìm mạng
như Wigle Wifi trên Android hay Kismet có thể thấy rõ sự khác biệt giữa các mạng
này, nhưng đối với người dùng bình thường, các mạng này sẽ giống nhau.
Điều này rất hiệu quả để lừa người dùng kết nối nếu chúng ta có một mạng có cùng
tên, cùng mật khẩu và cùng mã hóa, nhưng nếu chúng ta chưa biết mật khẩu thì
sao? Chúng tôi sẽ không thể tạo một mạng lừa người dùng kết nối tự động, nhưng
chúng tôi có thể thử một cuộc tấn công kỹ thuật xã hội để cố gắng buộc người
dùng cung cấp mật khẩu cho chúng tôi bằng cách khởi động họ khỏi mạng thực.
Sử dụng một cuộc tấn công Captive Portal
Trong một cuộc tấn công kép độc ác kiểu cổng bị khóa, chúng tôi sẽ sử dụng
khuôn khổ tấn công không dây Airgeddon để cố gắng buộc người dùng kết nối với
một mạng mở có cùng tên với mạng mà họ tin tưởng. Cổng cố định là một cái gì
đó giống như màn hình mà bạn nhìn thấy khi kết nối với mạng mở tại quán cà phê,
trên máy bay hoặc tại khách sạn . Màn hình này chứa các điều khoản và điều kiện
là thứ mà mọi người thường thấy và chúng tôi sẽ sử dụng điều đó làm lợi thế của
mình để tạo một trang lừa đảo giống như bộ định tuyến đang cập nhật.
Cách mà chúng tôi lừa nạn nhân làm điều này là làm ngập mạng tin cậy của họ
bằng các gói khử xác thực, khiến nó không thể kết nối với Internet một cách bình
thường. Khi đối mặt với một kết nối internet từ chối kết nối và không cho phép bất
kỳ truy cập internet nào, người dùng khó chịu trung bình sẽ phát hiện ra một mạng
Wi-Fi mở có cùng tên với mạng mà họ không thể kết nối và cho rằng nó có liên
quan đến vấn đề.
Sau khi kết nối với mạng, nạn nhân sẽ được chuyển hướng đến một trang lừa đảo
giải thích rằng bộ định tuyến đã cập nhật và yêu cầu mật khẩu để tiếp tục. Nếu
người dùng cả tin, họ sẽ nhập mật khẩu mạng vào đây, nhưng đó không phải là nơi
niềm vui dừng lại. Nếu nạn nhân bị kích thích bởi sự bất tiện này và nhập sai mật
khẩu, chúng tôi cần đảm bảo rằng chúng tôi có thể phân biệt được mật khẩu sai từ
đúng mật khẩu. Để thực hiện việc này, trước tiên chúng tôi sẽ nắm bắt một cú bắt
tay từ mạng, vì vậy chúng tôi có thể kiểm tra từng mật khẩu mà người dùng cung
cấp cho chúng tôi và cho biết khi nào mật khẩu chính xác được nhập.
Khi bạn thấy rằng bạn đã bắt tay, bạn có thể thoát ra khỏi cửa sổ Chụp Bắt
tay . Khi tập lệnh hỏi bạn liệu bạn có bắt tay hay không, hãy chọn Y và lưu tệp bắt
tay. Tiếp theo, chọn vị trí để bạn ghi mật khẩu bị đánh cắp và bạn đã sẵn sàng đến
bước cuối cùng của việc định cấu hình trang lừa đảo.
Bước 6Thiết lập trang lừa đảo
Trong bước cuối cùng trước khi phát động cuộc tấn công, chúng tôi sẽ đặt ngôn
ngữ của trang lừa đảo. Trang được cung cấp bởi Airgeddon khá tốt để thử nghiệm
kiểu tấn công này. Trong ví dụ này, chúng tôi sẽ chọn 1 cho tiếng Anh. Khi bạn đã
lựa chọn xong, hãy nhấn Enter , và cuộc tấn công sẽ bắt đầu với sáu cửa sổ mở ra
để thực hiện đồng thời các chức năng khác nhau của cuộc tấn công.
Bước 7Nắm bắt thông tin đăng nhập mạng
Với cuộc tấn công đang diễn ra, nạn nhân nên bị loại khỏi mạng của họ và xem
mạng giả của chúng tôi là lựa chọn duy nhất có vẻ quen thuộc. Hãy kiên nhẫn và
chú ý đến trạng thái mạng trong cửa sổ trên cùng bên phải. Điều này sẽ cho bạn
biết khi nào một thiết bị tham gia vào mạng, cho phép bạn xem bất kỳ lần nhập mật
khẩu nào mà chúng thực hiện khi chúng được chuyển đến cổng bị khóa.
Khi nạn nhân tham gia vào mạng của bạn, bạn sẽ thấy một loạt các hoạt động như
trong hình bên dưới. Ở góc trên cùng bên phải, bạn sẽ có thể thấy mọi lần nhập mật
khẩu không thành công, được kiểm tra dựa trên lần bắt tay mà chúng tôi thu thập
được. Điều này sẽ tiếp tục cho đến khi nạn nhân nhập mật khẩu chính xác và tất cả
các yêu cầu internet của họ (nhìn thấy trong hộp văn bản màu xanh lá cây) sẽ
không thành công cho đến khi họ làm như vậy.
Khi nạn nhân hang động và cuối cùng nhập đúng mật khẩu, các cửa sổ sẽ đóng lại
ngoại trừ cửa sổ trên cùng bên phải. Mạng giả sẽ biến mất và nạn nhân sẽ được tự
do kết nối lại với mạng không dây đáng tin cậy của họ.
Thông tin đăng nhập sẽ được hiển thị trong màn hình Điều khiển trên cùng bên
phải và bạn nên sao chép và dán mật khẩu vào tệp để lưu, trong trường hợp tập
lệnh không lưu tệp chính xác. Điều này đôi khi xảy ra, vì vậy hãy đảm bảo không
quên bước này, nếu không bạn có thể mất mật khẩu vừa chụp.
Sau đó, bạn có thể đóng cửa sổ và đóng công cụ bằng cách nhấn Ctrl + C. Nếu
chúng tôi nhận được thông tin xác thực hợp lệ trong bước này, thì cuộc tấn công
của chúng tôi đã hoạt động và chúng tôi đã có mật khẩu Wi-Fi bằng cách lừa người
dùng gửi nó đến trang lừa đảo AP giả mạo của chúng tôi!
Bảo vệ chống lại một cuộc tấn công của evil twin attack
Cách tốt nhất để phòng thủ trước evil twin attack là biết về chiến thuật và biết rằng
các dấu hiệu của một cuộc tấn công của chúng sẽ khiến bạn rất nghi ngờ. Nếu bạn
đột ngột mất khả năng kết nối với mạng đáng tin cậy của mình và đột nhiên nhìn
thấy một mạng không dây đang mở có cùng tên, đây không phải là sự trùng hợp
ngẫu nhiên cũng không phải là một sự kiện bình thường.
Không bao giờ kết nối với mạng không dây không xác định giả vờ là của bạn, đặc
biệt là mạng không có mã hóa. Nếu bạn nghi ngờ bộ định tuyến của mình đang
thực sự cập nhật, hãy tắt Wi-Fi và cắm trực tiếp vào Ethernet của bộ định tuyến để
xem sự cố là gì.