¿Alguien intentó falsificar mi red wifi?

13

Estoy viajando en un tren en Suiza, trabajando en un macbook conectado a un punto de acceso wifi que he configurado en mi teléfono [1] usando WPA2.

En algún momento del viaje, la conexión a Internet se cae. Mientras me pregunto por qué, el sistema operativo me pide que vuelva a ingresar la contraseña para el wifi. Me parece extraño (nunca ha sucedido antes), pero verifico la contraseña en el teléfono (lo que, por cierto, indica una buena recepción celular) y la ingreso nuevamente en el macbook. No puedo conectarme.

Ahora cambio la configuración de la zona activa en el teléfono, modificando el SSID y la contraseña. Puedo conectarme al nuevo SSID sin problemas. Ahora, ambos SSID se muestran como redes disponibles en mi macbook. Unos minutos más tarde, el SSID "NX5TAL" desaparece.

Si bien es probable que no sea suficiente información para determinar con certeza lo que sucedió, me pregunto: ¿es así como se vería un ataque de suplantación de wifi (fallido?) desde el punto de vista de la víctima?

[1] Google Nexus 5x, Android 8.1.0, nivel de parche de seguridad 5 de diciembre de 2017

    
pregunta leopold.talirz 10.12.2017 - 19:34
fuente

1 respuesta

12
  

Si bien esto probablemente no es suficiente información para determinar con   Lo que sucedió, me pregunto: ¿es así como un wifi (fallado)?   ¿El ataque de suplantación se vería desde el punto de vista de la víctima?

Sí (que no es lo mismo que decir que sucedió ).

Específicamente, alguien cercano podría haber usado airdump-ng o equivalente para obtener el SSID y la dirección MAC de tu AP

.

Entonces habría emitido un paquete de deauth forjado para que todos los usuarios salgan del AP. Esto coincide con sus síntomas.

Finalmente, habría configurado un punto de acceso falso con el mismo MAC y SSID, pero transmitiendo a una potencia notablemente más alta (no es realmente difícil, ya que está tratando de dominar un teléfono inteligente). Tu Mac se conecta al AP deshonesto.

Lo siguiente que sabes es que estás suministrando tus credenciales (como Torin42 notó, esto requiere algo de ingeniería social y funciona mejor con un poco de ayuda del sistema operativo) para el atacante. Quien aparentemente no está interesado en interceptar su tráfico (de lo contrario, le habría permitido iniciar sesión, esperando que ingrese algunas otras credenciales, como correo electrónico, banca en casa y demás). Pero ahora que tiene sus credenciales, puede secuestrar su punto de acceso y navegar de forma gratuita sin necesidad de descifrar el cifrado WPA2.

El intento falló porque cambiaste la contraseña de WiFi y porque no te permitió conectarte al punto de acceso no autorizado. Este último podría haber revelado otras credenciales en la Mac, de lo contrario, no habría hecho que su primera AP haya estado expuesta a una conexión con credenciales robadas.

Hay herramientas de diagnóstico para PC y Android (no sé acerca de Mac) que ayuden a reconocer esta situación, si escaneas el vecindario, por ejemplo. WiFi Analyzer (Play Store: com.farproc.wifi.analyzer), verá su punto de acceso, que debe estar ejecutándose en un teléfono diferente, con una 'sombra' expandible con el mismo MAC que el principal (los extensores de rango de WiFi lo tienen el mismo, con dos MAC diferentes).

O, incluso más fácil, si desactiva el AP en el teléfono y escanea el vecindario, verá el nombre de su AP, que normalmente nunca se vería (como funciones de cliente WiFi y servidor AP) son mutuamente excluyentes).

    
respondido por el LSerni 11.12.2017 - 16:15
fuente

Lea otras preguntas en las etiquetas