Pregunta SSID con un nombre muy similar, ¿se trata de un intento de pirateo?


Noté que aparece otro SSID en mi WiFi con el mismo nombre que el mío (bastante personal, por lo que solo pude haber sido copiado intencionalmente), pero un par de letras están en mayúscula. Su versión no tiene seguridad. El mío tiene WPA-PSK2. Lo probé para estar seguro desenchufando mi enrutador y mientras el mío desapareció después de un tiempo, el suyo permaneció.

¿Es esto una estratagema para hackear? ¿Están tratando de usar esto para infiltrarse en mi red, ya que cerré la mía solo a direcciones MAC aprobadas, pensando que me deslizaré y me uniré a su red?

Ejemplo:

  • Mi SSID: bestfriend
  • Su SSID: BestFriend (con mayúsculas B y F)

140


origen


más personas deberían tomar la seguridad tan en serio. Es posible, si se trata de un ataque dirigido, llamamos a estos puntos de acceso deshonestos, donde se imita el nombre de otra persona y se ve si los clientes se conectan a él. Pero necesitaremos más información, ¿cuál es exactamente el nombre de su red (ESSID) y cuántas personas la usan? Es esta red personal? ¿Quién más sabe sobre esta red? ¿Tu novia tiene un ex que quiere volver a estar con ella? tienes la idea ... algunos detalles serían buenos. - Nalaurien
... tal vez solo están educadamente pidiéndole que cambie la capitalización de su SSID a una "más correcta" porque les molesta cuando lo ven en su lista de redes disponibles? Me puedo imaginar haciendo eso ... "Nunca atribuyas a la malicia lo que se explica adecuadamente por nitpicking extremo" (?) - xDaizu
Conéctese a la red con una máquina desechable e intente escanear toda la subred con nmap para ver qué están haciendo. - André Borie
Podría ser solo una oportunidad. Se sorprenderá de lo populares que son algunos SSID (por ejemplo, variaciones en "FBI Surveillance Van"). - Mark
¡pise con cuidado y no ignore los errores SSL / TLS! - n00b


Respuestas:


Sí, es muy probable que sea una especie de estrategia de piratería, aunque es una suposición de por qué.

Debo señalar que bloquear el enrutador en direcciones MAC específicas podría proporcionar un poco de seguridad, pero no mucho.

También es poco probable que sus acciones estén diseñadas para piratear su red; es más probable que intenten capturar su tráfico.

Si fuera yo, me aprovecharía de ellos - obtendría una VPN barata y un hardware dedicado (PC de baja especificación, disco duro grande), lo conectaría a la VPN y su red y lo filtraría con fuerza. Como está utilizando una VPN, no podrán interceptar su tráfico, pero pueden consumir todo su ancho de banda hasta que se despierten. (Y tiene una negación plausible "Oye, pensé que estaba conectado a mi AP, utilicé el SSID de mi dispositivo)

Un par de otras cosas para reflexionar - Es concebible que ambos AP sean realmente tuyos: uno en la banda de 2.4 gigas, uno en la banda de 5 gigas, y la banda de 5 gigas simplemente no está encriptada. Verifique la configuración de su enrutador para descartar esto y / o algún tipo de analizador de WiFi (hay algunos disponibles en Play Store para Android) para ayudarlo a determinar de dónde vienen las señales al observar la potencia de la señal.

Cuidado con los paquetes de desauth. Si intentan piratear sus sistemas, no me sorprendería si están tratando de enviar paquetes de autenticación para interferir con sus conexiones para aumentar las posibilidades de que alguien en su red intente conectarse con ellos.


130



Menciona que desenchufa el enrutador y que la otra red permanece, esto descarta que sea su banda de 5 gig. - LPChip
Cómo es esto negación plausible? Estabas filtrando ancho de banda en una computadora barata que compraste a través de una VPN que normalmente nunca usas. ¿Estás tratando de mentirle a un niño de 5 años o a un juez? - Mehrdad
@Mehrdad La verosimilitud plausible existe cuando tu vecino intentaba engañarte para conectarte con su AP, y te caíste por ello. Mi vecino se comporta como un hacker, por lo que es completamente razonable obtener una VPN para protegerme. (Además, no necesito mentirle a un juez, la otra parte es la que hace la reclamación, mi abogado simplemente puede sembrar dudas). Sin embargo, tengo curiosidad sobre lo que piensan las mentes legales, así que planteé esto en una pregunta en law.se (law.stackexchange.com/questions/19482/...) - davidgo
@Mehrdad ¡Si voy a mentir sobre el pirateo de la red, me arriesgaré ante un juez antes que un niño de cinco años! - Auspex
Independientemente de la "denegabilidad plausible", considero que no es ético abogar por un comportamiento tan sombrío, especialmente dado que, dependiendo de la jurisdicción, puede ser completamente legal conectarse a un punto de acceso abierto. - StockB


Me parece que esto es algo que se llama "Gemelo malvado".

Básicamente, el atacante crea una red que imita a la tuya para que tú (o tu máquina por sí misma) se conecten a eso. Lo consigue, como dijo Davidvid, enviando paquetes de autenticación a su enrutador para que tenga que volver a conectarse. Al cambiar la dirección MAC de su propio enrutador a la suya, su computadora se conecta automáticamente a la red de atacantes (dado que su señal es más fuerte). Esto le permite al atacante hacerle más daño con los ataques Man-In-The-Middle o con un DNS falso que redirige sitios web comunes a sitios de phishing.

Ahora podría hacer algo de ciencia aquí y tratar de demostrar que este es un atacante con malas intenciones e informarlo, o simplemente aprovechar el "tráfico libre", pero dado que podrían producirse algunos chanchullos con el DNS, correría el riesgo de revelar información confidencial. cuando no ten cuidado al completar formularios.


56



Normalmente, un Evil Twin coincide exactamente con el SSID. Creo que al capitalizar ciertas letras intentan ser víctimas potenciales de Social Engineer y hacen que el SSID no en mayúsculas se vea como el clon malo. "¡Miren este clon sin capitalizar! Está haciendo un mal trabajo al hacer que yo haga clic en él. Obviamente, debería hacer clic en el en mayúscula que parece más oficial con un poco de pensamiento para nombrarlo". - Corey Ogburn
¿Por qué el atacante se molestaría con un SSID (sospechoso) si puede hacer que su dispositivo se conecte automáticamente a su enrutador al suplantar la dirección MAC? - JimmyB
@JimmyB Probablemente porque el atacante no puede gestionar la condición previa "dado que su señal es más fuerte". Entonces, en lugar de optar por la computadora que no coopera, van por el humano desatento. - Kevin Fee
Si el mecanismo de autenticación de seguridad no es exactamente igual que la red inalámbrica original, la computadora no se conectará a la red falsa, incluso si la señal es más fuerte. - pHeoz
@JimmyB Una vez que un dispositivo se conecta a su SSID falso, no necesita falsificar ninguna dirección MAC. En un ataque Evil Twin intenta atraer a la víctima a su red inalámbrica dándole el mismo SSID e interferir con los clientes que se conectan con el real (interrumpiendo la señal o, más comúnmente, forzándolos a des-autenticarse del real AP). La mayoría de las personas no selecciona manualmente un SSID ya que su dispositivo ya está conectado al SSID de su red doméstica, solo cuando tiene un nuevo dispositivo, verá la lista de redes disponibles, haciéndolo susceptible a la Ingeniería Social. - GroundZero


Me encontré con un "problema" similar a principios de este año al depurar problemas de conectividad inalámbrica.

Mi sugerencia es una pregunta: ¿tienes un chromecast??

Los problemas de conectividad terminaron siendo enteramente culpa del proveedor de servicios, pero estaba realmente atascado en este SSID. Al usar una aplicación de analizador de intensidad de señal wifi en mi teléfono, lo rastreé hasta el chromecast (que era una capitalización alternativa de mi wifi SSID), y hubo mucho alivio.

EDITAR:. Es importante tener en cuenta que el Chromecast solo necesita energía (no "Internet") para alojar su propio wifi, sino que se conectará tanto a un wifi como a un servidor propio. Puedes conectarte a esto, pero no hace nada a menos que lo estés configurando a través de la aplicación


43



Sí, tengo un Chromecast. La dirección MAC de Buts se agrega al enrutador original y tampoco funcionaría cuando desconecté el enrutador esa noche. - K. Pick
Añadiré que mi Chromecast también se llama SantoRican, pero como no estaba conectado a Internet, el Wifi estaba desconectado. El tipo del cable lo verificó cuando llegó a arreglar el wifi, pero dijo que eso no era lo que estaba causando el problema. (pero nunca se sabe que podría estar equivocado) - K. Pick
@ K.Pick Chromecast puede actuar como un host, por lo que puede conectarse a él con su teléfono y configurarlo. - emed
Esta parece ser la respuesta más probable. Las personas desviadas podrían usar otras formas más interesantes y menos obvias. los "capitalización alterna" debe estar en negrita ya que esta es la clave más obvia en mi opinión. - KalleMP
@ K.Pick: No empieces a adivinar cómo se incluye la Chromecast en tu enrutador. Simplemente desenchufe el chromecast y verifique si el SSID todavía está allí. - yankee


Bueno, parece que tomas la seguridad muy en serio. Es posible que alguien intente engañar a las personas que se unen a la otra red. La mejor manera de comenzar a ver esto sería cambiar su SSID a algo diferente, y también bastante específico, por ejemplo, una palabra con algunos dígitos sustituyendo las letras y ver si ese SSID cambia a similar al suyo. Quizás su st0pthis y ellos StopThis. Si registra su dirección MAC de SSID de antemano para ver si el otro SSID cambió, puede ser aún más sospechoso.

Una buena forma en Linux para ver las direcciones MAC es iwlist YourInterfaceName scanning | egrep 'Cell |Encryption|Quality|Last beacon|ESSID' Y, por supuesto, puede y debe monitorear su red en busca de cambios y actividad sospechosa, así como mantener sus máquinas actualizadas.


14



@ r0berts Debería implicar una elección con una recomendación fuerte. - wizzwizz4
Entiendo. Pero, en promedio, diría que la gente no sabe cómo monitorear sus redes, así que no tiene sentido hacer que se sientan culpables por eso. Pero punto tomado) - r0berts
Incluso manteniendo el sistema actualizado con los parches, y teniendo cierta higiene básica de la computadora (firewall de bloqueo de entrada por defecto, antivirus actualizado) irá a un camino muy largo para garantizar que su sistema sea seguro. Desafortunadamente, ese es el mínimo requerido hoy para cualquier sistema que esté conectado a Internet. Los días en los que podía conectar cualquier sistema aleatorio a Internet sin ninguna precaución se han ido hace mucho tiempo ... - Michael Kjörling
Estoy totalmente de acuerdo con eso. Sería fantástico si se pudiera reducir la complejidad de monitorear su red, esto aún requiere una gran inversión de tiempo para aprender esto en su LAN doméstica. - r0berts


Truco simple,

Cambia tu SSID y ocúltalo para ver qué sucede. Si copian tu SSID nuevamente, sabrás que estás en problemas.

Modo extremo

Cambie su rango de red DHCP local a algo que no se usa en la red abierta

Configure una IP estática si es posible para que su PC no pueda usar la WiFi abierta

Configure su configuración de WiFi en su PC para no utilizar puntos de acceso WiFi abiertos

Cambie su contraseña de WiFi a algo como esto: HSAEz2ukki3ke2gu12WNuSDdDRxR3e

Cambie su contraseña de administrador en su enrutador solo para asegurarse. Y finalmente use un cliente VPN en todos sus dispositivos (también teléfonos)

Utiliza el filtrado MAC y esa es una buena función de seguridad de bajo nivel. Finalmente, utilice el firewall y el software AV de terceros y establezca la configuración de forma que resulte increíblemente segura, por lo que debe aprobar casi todas las acciones que tienen que ver con la actividad de Internet o de la red.

Una vez que te acostumbres a estas cosas, será más fácil de mantener y tu firewall se relajará porque aprende de tus acciones.

¡Que nos mantengais! :)


11





Sí, esto es exactamente lo que piensas que es: alguien está intentando engañarte para que se una a su red por error. No te conectes a eso. Si se da cuenta de que acaba de hacerlo, ejecute un análisis de antivirus y elimine los datos que ha estado descargando, ya que no se puede confiar en ellos. Si también envió datos confidenciales, como una contraseña, a través de esta conexión no autorizada, cámbiela de inmediato.

Si este punto de acceso no desaparece después de un tiempo, le sugiero que haga un esfuerzo razonable para detenerlo (como pedirle a sus vecinos que paren o decirle a sus hijos que se detengan). Un dispositivo capaz de mostrar la intensidad de la señal WiFi, como un teléfono celular, debería permitirle rastrear con precisión la ubicación de este punto de acceso.


10



La aplicación que recomendaría para rastrearla inssider. Fue creado por las personas maravillosas en metageek. - Rowan Hawkins


Muchas veces las personas con problemas de seguridad simplemente están siendo paranoicos. En este caso, usted tiene un motivo de preocupación muy legítimo.

No concluya la malicia al 100%, podría Sé un vecino experto en TI intentando bromear contigo, digamos redirigiendo las solicitudes de sitios web a un sitio de broma. O alguien que intentó establecer su propia red y que simplemente imitó la suya (pero me inclino a dudar de que, actualmente, cualquier enrutador tenga un requisito de contraseña). Pero básicamente, la persona podrá ver mucho de su tráfico, qué sitios web visita, qué envía y recibe, además de lo que está encriptado (y mucho no está encriptado). Eso podría ser por chantaje, espionaje, acecho. Por otro lado, no es súper sofisticado y es bastante fácil de descubrir, así que quién sabe.

Más importante aún, este no es un ataque global masivo genérico de hackers extranjeros, significa que un punto de acceso físico se encuentra cerca o en su casa. Si yo fuera tú, lo haría no alertalos, pero trata de encontrarlo. Si tiene una caja de fusibles, apague un circuito cada vez y espere cinco minutos para ver si el punto de acceso desaparece. Eso te dirá si es algo en tu casa. De lo contrario, puede usar la triangulación, la intensidad de la señal con el registrador GPS en su teléfono y pasear por el vecindario, o una tienda de Pringles para averiguar aproximadamente dónde está. Puede encontrar a un ex viejo con un cuchillo, una caja enterrada o los niños nerds de un vecino. Si les importa lo suficiente como para hacer esto, también pueden tener un error de audio. Primero rastrea generalmente donde está, y si está dentro de la casa de alguien, entonces quizás quieras llamar a un guardaespaldas del trabajo e ir a llamar a las puertas.


9



También creo que sería interesante averiguar la ubicación de la red antes de que se apague. La respuesta de Chromecast anterior puede ser la explicación benigna sin embargo. - KalleMP
El ssid desapareció la mañana en que llegó la compañía de Internet, arregló la red, así que creo que si hubiera alguien cerca podrían haber visto el camión y tirar de él. - K. Pick


Las otras respuestas hasta ahora te dan suficiente para hacer sobre esta situación concreta.

Sin embargo, debe tenerse en cuenta que ha notado una situación que puede ser un intento de invadir sus datos privados. Hay otras situaciones en las que este tipo de ataque es menos detectable. P.ej. si su vecino conoce su Wifi-Password, que podría haberles dicho cuando amablemente preguntaron, porque eran nuevos en la casa y su propio enlace ascendente aún no estaba listo. Pero lo peor de todo: si está en un wifi sin cifrar (o en el que se conoce comúnmente la contraseña) como Wifi de hotel o de aeropuerto, estos ataques serán muy difíciles de detectar, porque el atacante puede configurar el wifi con EXACTAMENTE el mismo configuración (misma contraseña y el mismo SSID) y sus dispositivos se conectarán automáticamente a la señal más potente y nunca le informarán que tomó una decisión.

La única opción para mantenerse seguro es cifrar TODO su tráfico. Nunca ingrese su contraseña, dirección de correo electrónico, número de tarjeta de crédito ni ninguna otra información en un sitio web que no esté encriptado con SSL / TLS. Considere que las descargas de sitios web no cifrados están en peligro (el malware podría haberse inyectado). Antes de ingresar / descargar datos en un sitio web cifrado, verifique que se encuentre en el dominio correcto (google.com, no giigle.com. SSL no será de ayuda si se encuentra en un dominio con el que no desea hablar). Instalar HTTPS en todas partes o similar. También recuerde que hay otros servicios además de su navegador web que pueden transmitir datos, como un cliente de correo electrónico IMAP. Asegúrese de que solo funcione en conexiones encriptadas. Hoy en día, casi no hay ninguna razón para no cifrar todo el tráfico, sin embargo, algunos desarrolladores son perezosos, etc. Si necesita utilizar alguna aplicación que no admita SSL o una medida de seguridad similar, utilice una VPN. Tenga en cuenta que el proveedor de VPN podrá leer todo su tráfico que no esté encriptado además del cifrado que proporciona la VPN.


2





SI es un intento de piratería, está siendo ejecutado por alguien que es ignorante. Cada SSID puede protegerse con una contraseña de algún tipo y con algún tipo de fortaleza criptográfica.

Simplemente tener otro punto de acceso configurado con el mismo nombre que un punto de acceso cercano es lo mismo que esto:

Mi nombre es Steve Smith y acabo de mudarme a una casa. Y como   pasa a ser cierto, mi vecino de al lado   el nombre es Steve Smith. Pero solo porque mi vecino y yo tenemos el mismo   nombre, no significa que la llave de mi puerta funcionará en su frente   puerta ... Tampoco significa que la llave de mi puerta vuelva a encender mágicamente   sí mismo para que también funcione en su puerta ...

y ESO es lo tonto que es en términos de mirar esto desde un posible escenario de pirateo ...

Tus respuestas:

1) ¿Es esta una estratagema para hackear?

 - Maybe, but it won't work.

2) ¿Están tratando de usar esto para infiltrarse en mi red, ya que cerré la mía solo a direcciones MAC aprobadas, pensando que me deslizaré y me uniré a su red?

 - They might be, but it doesn't matter, since it won't work. 

1



Amablemente brinde una solución a OP, no solo comentarios - yass