Mis dos centavos:
Si su amigo está en un sistema * nix, primero puede anotar la dirección MAC del enrutador desde el panel web del enrutador y luego ejecutar el siguiente comando:
arp -a
Puede verificar la dirección MAC en la que se encuentra el enrutador en la tabla ARP. Si la dirección MAC del enrutador es diferente de lo que debería ser, esa es una indicación.
En segundo lugar,
Puede verificar las resoluciones de DNS para, por ejemplo, facebook.com ejecutando:
nslookup facebook.com
, si la dirección devuelta es una dirección local, digamos, 192.168.0.105 o algo así, esto debería indicar que se están secuestrando las resoluciones de DNS.
Más fácil aún en la capa de aplicación, es decir, en el navegador, cada vez que navegue por un sitio web que use credenciales o algo sensible, verifique la barra de URL para determinar si la comunicación se está realizando a través de HTTPS. Incluso si el tráfico está siendo detectado por una conexión LAN a un conmutador, su tráfico sería ilegible para el atacante debido a HTTPS.