¿Alguien se hizo pasar por mi WiFi?

Navega tus respuestas
16

TL; DR : un extensor de WiFi desconocido apareció en mis registros DHCP y mi teléfono se conectó de manera rutinaria a través de ese punto de acceso. ¿Qué tan grave era mi red o tráfico en riesgo?

Esta mañana, mientras luchaba con una conexión lenta, comprobé mi enrutador y me sorprendió ver un nuevo dispositivo desconocido conectado a través de DHCP. El nombre del host fue listado como "TL-WA850RE" que resulta ser una forma de extensor de señal WiFi. Como no tengo un dispositivo así, inmediatamente agregué la dirección MAC al filtro de exclusión.

Mantuve un ojo en la red desde entonces y no tuve más problemas. Sin embargo, noté que mi teléfono repentinamente tuvo problemas aleatorios al conectarse al WiFi. No hice la conexión entre los dos hasta que finalmente me harté y decidí cambiar mi seguridad inalámbrica para usar WPA2 en lugar del WEP que estaba usando (para un dispositivo heredado, es una estupidez, lo sé). Inmediatamente después, descubrí que mi teléfono de repente encontró dos redes diferentes con el mismo SSID pero con configuraciones de seguridad diferentes. Después de cambiar y ocultar mi SSID, el SSID antiguo ahora sigue en la lista.

Todo esto me llevó a la siguiente conclusión: alguien rompió mi "seguridad" de WiFi y configuró un repetidor para extender su señal, suplantando así mi red al servir como un segundo punto de acceso en una red de múltiples AP. Como mi teléfono estaba más cerca del repetidor que mi enrutador, estaba pasando por ese punto de acceso. Como había bloqueado el acceso de MAC a mi red real, esa conexión ya no funcionaba.

Así que ahora mi pregunta: ¿es esto realmente lo que sucedió? ¿Qué tan preocupado debería estar de que alguien estuviera escuchando el tráfico que mi teléfono presuntamente envió a través de este punto de acceso desconocido? ¿Debo tomar medidas adicionales?

EDITAR: veré si puedo exportar registros desde el enrutador para verificar la actividad pasada. Ejecuté una exploración de puertos en el dispositivo que mostraba un puerto HTTP abierto, presumiblemente su consola de administración. Consideré brevemente el intentar acceder a él, pero si bien es moralmente defendible, probablemente también sea ilegal y es poco probable que proporcione información útil.

EDIT 2: como temía, es un enrutador de Belkin con tanta tala como el desierto del Sahara.

EDIT 3: resulta que, aparentemente, un técnico instaló este extensor de WiFi en particular como parte de una instalación de un panel de paneles solares. No para aumentar la señal sino porque el extensor tiene un puerto Ethernet que se conecta al convertidor de energía para que pueda informar las estadísticas de uso. Por supuesto, se olvidaron de mencionar esto a la persona que está realmente a cargo de la red. Sin embargo, he encontrado las respuestas aquí bastante útiles y quizás esta pregunta puede ser útil para los futuros lectores que tienen un AP malicioso en su red.

Nota : tengo una idea bastante clara de quién fue el que ha estado jugando en mi red, pero quería asegurarme de que entendía lo que sucedió antes de confrontar a las personas o notificar a las autoridades. Es probable que no haga nada si puedo estar seguro de que solo se desconectaron de la conexión inalámbrica y no obtuvieron nada más.

    
pregunta Lilienthal 11.01.2016 - 02:19
fuente

3 respuestas

14

El atacante no parecía realmente intentar ocultar su rastro: podría haber falsificado una dirección MAC existente, por ejemplo, o haber usado la antena yagi clásica + el adaptador WiFi de alta potencia para interceptar silenciosamente su comunicación. En su lugar, parece que acaba de usar un extensor de alcance WiFi clásico de nivel doméstico con lo que parece ser la configuración predeterminada.

Por lo tanto, todavía me parece muy posible que solo quisiera obtener un acceso a Internet gratuito / pseudo-anónimo y en realidad no estaba interesado en sus propios datos.

Puedes (y deberías) inspeccionar:

  • Si puede determinar el uso que hizo el atacante de su acceso (¿tiene registros que muestren los dispositivos de usuario final conectados para navegar en la web, por ejemplo? ¿O una alta actividad causada por los servicios de intercambio entre pares?),
  • Si puede detectar cualquier actividad anormal en una de las cuentas que estaba usando durante este período (correo, sitios web, etc.).

En todos los casos, mientras se cambia la seguridad del acceso WiFi y la contraseña es lo mínimo, como medida de precaución, también sugeriría cambiar la contraseña de las cuentas mencionadas anteriormente.

Tenga en cuenta que el atacante directo de su cuenta WiFi puede no ser su única amenaza. Si, como supongo, este atacante usó su acceso a Internet para visitar sitios web dudosos o descargar material pirateado de forma gratuita, entonces es probable que su propia máquina pueda estar infectada por algún malware, por lo que, durante algún tiempo, usted hospedó una máquina infectada en su red. . Esto puede valer algunas medidas de cordura.

    
respondido por el WhiteWinterWolf 11.01.2016 - 12:10
fuente
2

Esto es bastante posible. ¿Hay algún registro en su enrutador que pueda verificar para obtener más información? Además, ¿está habilitado WPS en su enrutador? Si es así, desactívelo lo antes posible, cierre todos los puertos excepto 80, cambie la contraseña de su enrutador (haga que sea largo y complejo) y actualice el firmware del enrutador.

    
respondido por el mk444 11.01.2016 - 02:41
fuente
2

Si bien ese podría ser el caso, le recomiendo que descargue todos sus archivos de registro del servicio DHCP (si su enrutador los retuvo) desde el punto en que cree que la seguridad de su enrutador se vio comprometida y ver si se solicitaron dispositivos desconocidos Una dirección. Esto sin duda demostraría que al menos alguien comprometió su seguridad y puso en riesgo sus datos, algo que definitivamente es un delito legal en los Estados Unidos. Como medida de mitigación para el futuro, lo mejor que puede hacer es configurar su propia entidad de certificación y hacer que emita un punto de acceso a un certificado, proporcionando así confianza entre su cliente y el enrutador.

    
respondido por el Nobeater 11.01.2016 - 03:11
fuente

Lea otras preguntas en las etiquetas

Autentificación de tres factores para Windows Persiguiendo una carrera en Malware Analysis