SSID con nombre muy similar, ¿es este un intento de piratería?

140

Noté que otro SSID aparece en mi WiFi con el mismo nombre que el mío (bastante personal, por lo que solo podría haber sido copiado intencionalmente), pero un par de las letras están en mayúscula. Su versión no tiene seguridad. El mío tiene WPA-PSK2. Lo probé para desconectar mi enrutador y mientras el mío desapareció después de un tiempo, el suyo permaneció.

¿Es esto una estratagema para hackear? ¿Están tratando de usar esto para infiltrarse en mi red, ya que cerré la mía solo a las direcciones MAC aprobadas, pensando que me equivocaré y me uniré a su red?

Ejemplo:

  • Mi SSID: bestfriend
  • Su SSID: BestFriend(con mayúscula B y F)
wireless-networking  router  ssid 
K. Pick
fuente
50
más personas deberían tomar esto en serio. Es posible, si se trata de un ataque dirigido, llamamos a estos puntos de acceso no autorizados, donde imita el nombre de otra persona y ve si los clientes se conectan a él. Pero necesitaremos más información, ¿cuál es exactamente el nombre de su red (ESSID) y cuántas personas la usan? ¿Es esta red personal? ¿Quién más sabe acerca de esta red? ¿Tu novia tiene un ex que quiere volver a estar con ella? te haces una idea ... algunos detalles estarían bien.
Nalaurien
57
... ¿tal vez simplemente le piden educadamente que cambie la capitalización de su SSID a una "más correcta" porque les molesta cuando la ven en su lista de redes disponibles? Me puedo imaginar a mí mismo haciendo eso ... "Nunca atribuya a la malicia lo que se explica adecuadamente por la nitidez extrema" (?)
xDaizu
21
Conéctese a la red con una máquina desechable e intente escanear toda la subred con nmap para ver qué están haciendo.
André Borie
21
Podría ser casualidad. Te sorprendería lo populares que son algunos SSID (por ejemplo, variaciones en la "Furgoneta de vigilancia del FBI").
Mark
18
¡pise con cuidado y no ignore los errores SSL / TLS!
n00b

Respuestas:

130

Sí, lo más probable es que sea algún tipo de estratagema de piratería, aunque es una suposición de por qué.

Debo señalar que bloquear el enrutador a direcciones MAC específicas puede proporcionar un poco de seguridad, pero no mucho.

También es poco probable que sus acciones estén diseñadas para piratear su red; es más probable que intenten capturar su tráfico.

Si fuera yo, los aprovecharía: obtendría una VPN barata y algún hardware dedicado (PC de baja especificación, disco duro grande), lo conectaría a la VPN y a su red y lixiviaría. Debido a que está utilizando una VPN, no podrán interceptar su tráfico, pero puede consumir todo su ancho de banda hasta que se activen. (Y tiene una negación plausible "Oye, pensé que estaba conectado a mi AP; usé el SSID de mi dispositivo)

Un par de otras cosas para reflexionar: es concebible que ambos AP sean realmente suyos: uno en la banda de 2.4 conciertos, uno en la banda de 5 conciertos y la banda de 5 conciertos simplemente no está encriptada. Verifique la configuración de su enrutador para descartar esto y / o algún tipo de Wifi Analyzer (hay algunos disponibles en Play Store para Android) para ayudarlo a determinar de dónde provienen las señales observando la intensidad de la señal.

Cuidado con los paquetes de-auth. Si intentan hackear sus sistemas, no me sorprendería si intentan enviar paquetes de desautorización para interferir con sus conexiones para aumentar la posibilidad de que alguien en su red intente conectarse a ellos.

davidgo
fuente
114
Menciona que desconecta el enrutador y la otra red permanece, esto descarta que sea su banda de 5 gig.
LPChip
13
¿Cómo es esta negación plausible ? Estabas filtrando ancho de banda en una computadora barata que compraste a través de una VPN que normalmente nunca usas. ¿Estás tratando de mentirle a un niño de 5 años o a un juez?
Mehrdad
20
@Mehrdad La negación plausible existe cuando tu vecino estaba tratando de engañarte para que te conectaras a su AP, y te enamoraste de él. Mi vecino se comporta como un hacker, por lo que es completamente razonable obtener una VPN para protegerme. (Además, no necesito mentirle a un juez, la otra parte es la que hace el reclamo; mi abogado simplemente podría sembrar las semillas de la duda). Sin embargo, tengo curiosidad por saber qué piensan las mejores personas jurídicas, así que lo planteé en una pregunta en law.se ( law.stackexchange.com/questions/19482/… )
davidgo
17
@Mehrdad Si voy a mentir sobre el pirateo de redes, ¡me arriesgaría ante un juez antes de los cinco años!
Auspex
3
Independientemente de la "negación plausible", considero poco ético abogar por un comportamiento tan sombrío, especialmente porque, dependiendo de la jurisdicción, puede ser completamente legal conectarse a un punto de acceso abierto.
StockB
56

Me parece que esto es algo llamado " Evil Twin ".

Básicamente, el atacante crea una red que imita la suya para que usted (o su máquina por sí mismo) se conecte a eso. Lo logra, como dijo davidgo, enviando paquetes de-auth a su enrutador para que tenga que volver a conectarse. Al cambiar la dirección MAC de su propio enrutador a la suya, su computadora se conecta automáticamente a la red de los atacantes (dado que su señal es más fuerte). Esto permite que el atacante lo perjudique aún más con los ataques Man-In-The-Middle o un DNS falso que redirige los sitios web comunes a sitios de phishing.

Ahora podría hacer algo de ciencia aquí y tratar de demostrar que se trata de un atacante con malas intenciones e informarlo, o simplemente aprovechar el "tráfico libre", pero dado que podrían estar ocurriendo algunas travesuras de DNS, podría arriesgarse a revelar información confidencial. cuando no tenga cuidado al completar formularios.

Eco
fuente
54
Normalmente, un Evil Twin coincide exactamente con el SSID. Creo que al poner en mayúscula ciertas letras están tratando de convertir a las víctimas potenciales de un ingeniero social y hacer que el SSID sin mayúscula se vea como el clon malo. "¡Mira este clon no capitalizado! Está haciendo un mal trabajo al hacer que haga clic en él. Obviamente debería hacer clic en el mayúscula que parece más oficial con un poco de pensamiento para nombrarlo".
Corey Ogburn
3
¿Por qué el atacante se molestaría con un SSID (sospechoso) si puede hacer que su dispositivo se conecte a su enrutador automáticamente falsificando la dirección MAC?
JimmyB
77
@JimmyB Probable porque el atacante no puede manejar la condición previa "dado que su señal es más fuerte". Entonces, en lugar de ir por la computadora que no está cooperando, van por el humano desatento.
Kevin Fee
3
Si el mecanismo de autenticación de seguridad no es exactamente el mismo que la red inalámbrica original, la computadora no se conectará a la red falsa, incluso si la señal es más fuerte.
pHeoz
1
@JimmyB Una vez que un dispositivo se conecta a su SSID falso, no necesita falsificar ninguna dirección MAC. En un ataque de Evil Twin, intenta atraer a la víctima a su red inalámbrica dándole el mismo SSID e interferir con los clientes que se conectan al real (interrumpiendo la señal o, más comúnmente, forzándolos a des autenticarse del real AP). La mayoría de las personas no elige manualmente un SSID ya que su dispositivo ya está conectado al SSID de su red doméstica, solo cuando tenga un nuevo dispositivo, verá la lista de redes disponibles, lo que lo hará susceptible a la Ingeniería Social
BlueCacti
43

Me encontré con un "problema" similar a principios de este año al depurar problemas de conectividad inalámbrica.

Mi sugerencia es una pregunta: ¿tienes un Chromecast ?

Los problemas de conectividad terminaron siendo completamente culpa del proveedor de servicios, pero realmente estaba atrapado en este SSID de arenque rojo. Al usar una aplicación de analizador de intensidad de señal wifi en mi teléfono, lo rastreé hasta el Chromecast ( que era una capitalización alternativa de mi SSID wifi ), y hubo mucho alivio.

EDITAR:. Es importante tener en cuenta que el Chromecast solo necesita energía (no "internet") para alojar su propio wifi, tanto se conectará a un wifi como al alojamiento propio. Puede conectarse a esto, pero no hace nada a menos que lo esté configurando a través de la aplicación

Cireo
fuente
3
Sí, tengo un Chromecast. La dirección MAC de Buts se agrega al enrutador original y tampoco funcionaría cuando desconecté el enrutador esa noche.
K. Elija el
Agregaré que mi Chromecast también se llama SantoRican, pero como no estaba conectado a Internet, el Wifi estaba inactivo, estaba desconectado. El tipo de cable lo comprobó cuando vino a arreglar el wifi, pero dijo que eso no era lo que estaba causando el problema. (pero nunca se sabe que podría estar equivocado)
K. Elija el
1
@ K.Pick Chromecast puede actuar como un host, por lo que puede conectarse a él con su teléfono y configurarlo.
emed
2
Esta parece ser la respuesta más probable. La gente obvia podría usar otras formas más interesantes y menos obvias. La "capitalización alternativa" debe estar en negrita ya que esta es la pista más obvia en mi opinión.
KalleMP
21
@ K.Pick: no empieces a adivinar cómo se incluye el Chromecast en tu enrutador. Simplemente desconecte el Chromecast y verifique si el SSID todavía está allí.
Yankee
14

Bueno, parece que te estás tomando la seguridad muy en serio. Es posible que alguien esté tratando de engañar a las personas que se unen a la otra red. La mejor manera de comenzar a ver esto sería cambiar su SSID a algo diferente, y también bastante específico, por ejemplo, una palabra con algunos dígitos que sustituyan letras y ver si ese SSID cambia a algo similar al suyo, tal vez sea st0pthissuya y la de ellos StopThis. Si registra su dirección MAC SSID de antemano para ver si el otro SSID cambió, puede sospechar aún más.

Una buena manera en Linux para ver las direcciones MAC es iwlist YourInterfaceName scanning | egrep 'Cell |Encryption|Quality|Last beacon|ESSID'Y, por supuesto, puede y de hecho debe monitorear su red en busca de cambios y actividades sospechosas, así como mantener sus máquinas actualizadas.

r0berts
fuente
2
@ r0berts debería implica elección con una fuerte recomendación.
wizzwizz4
Entiendo. Pero en promedio, diría que la gente no sabe cómo monitorear sus redes, así que no tiene sentido hacer que se sientan culpables por eso. Pero punto tomado)
r0berts
1
Incluso solo mantener su sistema actualizado con parches y tener un poco de higiene básica de la computadora (bloqueo de firewall predeterminado entrante, antivirus actualizado) contribuirá en gran medida a garantizar que su sistema sea seguro. Desafortunadamente, ese es el mínimo requerido hoy para cualquier sistema conectado a Internet. Los días en los que se podía conectar ningún sistema aleatorio a Internet sin ningún tipo precauciones se han ido ...
una CVn
Estoy totalmente de acuerdo con eso. Sería genial si se pudiera reducir la complejidad de monitorear su red, esto aún requiere una gran inversión de tiempo para aprender esto para la LAN de su hogar.
r0berts
11

Truco simple,

Cambia tu SSID y escóndelo para ver qué sucede. Si copian su SSID nuevamente, entonces sabe que está en problemas.

Modo extremo

Cambie su rango de red DHCP local a algo que no se use en la red abierta

Configure una IP estática si es posible para que su PC no pueda usar el WiFi abierto

Configure sus ajustes de WiFi en su PC para no usar puntos de acceso WiFi abiertos

Cambie su contraseña de WiFi a algo como esto: HSAEz2ukki3ke2gu12WNuSDdDRxR3e

Cambie su contraseña de administrador en su enrutador solo para asegurarse. Y finalmente use un cliente VPN en todos sus dispositivos (también teléfonos)

Utiliza el filtrado MAC y esa es una buena característica de seguridad de bajo nivel. Finalmente, use un firewall de terceros y software AV y configure las configuraciones de manera molesta para que tenga que aprobar casi todas las acciones que tengan que ver con la actividad de Internet o la red.

Una vez que te acostumbres a estas cosas, será más fácil de mantener y tu firewall se relajará porque aprende de tus acciones.

¡Que nos mantengais! :)

MR_Miyati
fuente
10

Sí, esto es exactamente lo que crees que es: alguien está tratando de engañarte para que te unas a su red por error. No te conectes a ella. Si se da cuenta de que acaba de hacerlo, ejecute un análisis antivirus y elimine los datos que haya descargado, ya que no se puede confiar en ellos. Si también envió datos confidenciales como una contraseña a través de esta conexión no autorizada, cámbiela de inmediato.

Si este punto de acceso no desaparece después de un tiempo, le sugiero que haga un esfuerzo razonable para que se detenga (como pedirle a sus vecinos que lo detengan o decirles a sus hijos que lo hagan). Un dispositivo capaz de mostrar la intensidad de la señal WiFi, como un teléfono celular, debería permitirle localizar la ubicación de este punto de acceso con la suficiente precisión.

Dmitry Grigoryev
fuente
La aplicación que recomendaría para rastrearlo es un insider. Es creado por la gente maravillosa en metageek.
Rowan Hawkins
9

Muchas veces, las personas con problemas de seguridad son simplemente paranoicos. En este caso, tiene un motivo de preocupación muy legítimo.

No concluya la malicia al 100%, podría ser un vecino experto en TI tratando de bromear, digamos al redirigir las solicitudes del sitio web a un sitio de broma. O alguien que intentó configurar su propia red y acaba de imitar la suya (pero me inclino a dudar de que, en la actualidad, cualquier enrutador tendrá un requisito de contraseña por defecto). Pero, básicamente, la persona podría ver gran parte de su tráfico, qué sitios web visita, qué envía y recibe, además de lo que está encriptado (y mucho no está encriptado). Eso podría ser por chantaje, espionaje, acoso. Por otro lado, no es súper sofisticado y bastante fácil de descubrir, así que quién sabe.

Más importante aún, este no es un ataque global masivo genérico por parte de piratas informáticos extranjeros, significa que un punto de acceso físico está ubicado cerca o en su casa. Si yo fuera tú, lo haría sinalertarlos, pero tratar de encontrarlo. Si tiene una caja de fusibles, apague la alimentación un curso a la vez y espere cinco minutos para ver si desaparece el punto de acceso. Eso te dirá si hay algo en tu casa. De lo contrario, puede utilizar la triangulación, una fuerza de señal con el registrador GPS en su teléfono y dar un paseo por el vecindario, o un Pringles puede averiguar aproximadamente dónde está. Es posible que encuentres a un viejo ex con un cuchillo, una caja enterrada o los nerds de un vecino. Si se preocupan lo suficiente como para hacer esto, también pueden tener un error de audio. Primero rastrea generalmente dónde está, y si está dentro de la casa de alguien, entonces puedes llamar a un guardaespaldas del trabajo y llamar a las puertas.

Mover
fuente
2
También creo que sería interesante averiguar la ubicación de la red antes de que se apague. Sin embargo, la respuesta anterior de Chromecast puede ser la explicación benigna.
KalleMP
El SSID desapareció la mañana en que la compañía de Internet vino a reparar la red, así que creo que si era alguien cercano, podrían haber visto el camión y haberlo derribado.
K. Elija el
2

Las otras respuestas hasta ahora te dan lo suficiente para hacer sobre esta situación concreta.

Sin embargo, debe tenerse en cuenta que ha notado una situación que puede ser un intento de invadir sus datos privados. Hay otras situaciones en las que este tipo de ataque es menos detectable. Por ejemplo, si su vecino conoce su contraseña de Wifi, que podría haberles dicho cuando se lo pidieron amablemente, porque eran nuevos en la casa y su propio enlace ascendente aún no estaba listo. Pero lo peor de todo: si está en un Wifi no encriptado (o uno donde la contraseña se conoce comúnmente) como el Hotel o Airport Wifi, estos ataques serán muy difíciles de detectar, porque el atacante puede configurar el wifi con EXACTAMENTE lo mismo configuraciones (la misma contraseña y el mismo SSID) y sus dispositivos se conectarán automáticamente a la señal más fuerte y nunca le dirán que tomó una decisión.

La única opción para mantenerse seguro es cifrar TODO su tráfico. Nunca ingrese su contraseña, dirección de correo electrónico, número de tarjeta de crédito o cualquier otra información en un sitio web que no esté encriptado SSL / TLS. Considere las descargas de sitios web no cifrados como comprometidas (podría haberse inyectado malware). Antes de ingresar / descargar datos en un sitio web encriptado, verifique que esté en el dominio correcto (google.com, no giigle.com. SSL no ayudará si está en un dominio con el que no desea hablar). Instalar HTTPS en todas parteso similares Recuerde también que existen otros servicios además de su navegador web que pueden transmitir datos, como un cliente de correo electrónico IMAP. Asegúrese de que también funcione solo en conexiones cifradas. Hoy en día, casi no hay ninguna razón para no cifrar todo el tráfico, sin embargo, algunos desarrolladores son demasiado flojos, etc. Si necesita usar alguna aplicación que no sea compatible con SSL o una medida de seguridad similar, use una VPN. Tenga en cuenta que el proveedor de VPN aún podrá leer todo su tráfico que no esté encriptado además del encriptado que proporciona la VPN.

yanqui
fuente
1

SI se trata de un intento de piratería, lo está haciendo alguien que es ignorante. Cada SSID se puede proteger con una contraseña de algún tipo y con algún tipo de fortaleza criptográfica.

Simplemente tener otro punto de acceso configurado con el mismo nombre que un punto de acceso cercano es lo mismo que esto:

Mi nombre es Steve Smith y me acabo de mudar a una casa. Y como es cierto, el nombre de mi vecino de al lado es Steve Smith. Pero solo porque mi vecino y yo tengamos el mismo nombre, no significa que la llave de mi puerta principal funcionará en su puerta principal ... Tampoco significa que la llave de mi puerta vuelva a cerrarse mágicamente para que también funcione. en su puerta ...

y ESO es lo tonto que es en términos de mirar esto desde un posible escenario de piratería ...

Tus respuestas:

1) ¿Es esto una estratagema para hackear?

 - Maybe, but it won't work.

2) ¿Están tratando de usar esto para infiltrarse en mi red, ya que cerré la mía solo a las direcciones MAC aprobadas, pensando que me equivocaré y me uniré a su red?

 - They might be, but it doesn't matter, since it won't work.
Michael Sims
fuente
1
Proporcione amablemente una solución para OP, no solo comentarios
yass
0

La respuesta es bastante simple,
SI no es suya, lo que puede verificar deshabilitando el Chromecast y su enrutador (también asegúrese de que otros AP estén deshabilitados).

Si aún persiste, lo más probable es que sea un intento de monitorear su tráfico, en la mayoría de los casos no puede causar ningún daño, excepto si usa muchos sitios no encriptados (HTTP) en lugar de los encriptados (HTTPS).

Si usa HTTP, todo lo que envíe se enviará como texto sin formato, lo que significa que si su contraseña es "123abc", también podrán ver "123abc".

Un programa que puede socavar su tráfico es, por ejemplo, WireShark.

Marnix Mulder
fuente
0

Si se tratara de un truco de piratería, el SSID de la red sería exactamente el mismo que el suyo y se abriría, de modo que se conectaría automáticamente (si tuvieran una señal más fuerte) y no se daría cuenta.

A menudo hago esto a mis vecinos los fines de semana cuando juegan a YouTube en su computadora portátil o teléfono después de la 1 a.m., básicamente clonan su red (solo se permite un SSID único) y pongo una contraseña; los detiene cuando se quedan sin señal y regresan adentro y nunca lo han descubierto. Simplemente piensan que el WiFi está roto nuevamente.

Si lo dejo abierto, no hay contraseña: se conectarían y podría realizar una redirección de DNS o un hombre en el medio del ataque y monitorear su actividad en la red u otras cosas que podrían considerarse ilegales, seguro de que podrían ingresar la IP de mi enrutador y ver dispositivos conectados, pero no sucede.

Como analista de seguridad, consideraría que una identificación de red como "bestfriend" simplemente ha creado un nuevo "BestFriend".

Si se tratara de un truco de piratería real, sería exactamente el mismo SSID y la red abierta y es probable que no se dé cuenta al volver a conectarse a WiFi, ya que es probable que haya una conexión automática para nombrar.

Es un truco muy antiguo: llevar una computadora portátil a una cafetería y redirigir DNS desde un dispositivo inalámbrico a su sitio de inicio de sesión, obtener el tráfico de las personas.

Una de las razones por las que los lectores de tarjetas a menudo funcionan con WiFi y están conectados al banco: es demasiado fácil para MiM una red Starbuck y otros pocos segundos para ver el caché de imágenes de cada dispositivo, también hoteles, que usan repetidores para WiFi extendido.

Percepción extrasensorial. en Estados Unidos, donde algunos hoteles ni siquiera tienen una contraseña y son muy altos. Huela eso en unos segundos e incluso acceda a las máquinas del escritorio principal o al backoffice desde un teléfono, a veces.

(He tenido nombres de red como "Te he visto desnudo" y alguien ha cambiado el suyo por "yo también" y "No quiero verte desnudo". O he enviado mensajes, por ejemplo, "turnos de trabajo", así que los vecinos saben que está bien festejar toda la noche, pero no me despierten llamando a mi puerta para conversar porque estaré dormido a las 0800).

Algún chico
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.