Открыть сервис

Evil Twin

Evil Twin (с англ. — «злой близнец») — вид атаки на беспроводные сети Wi-Fi, при котором злоумышленник создаёт точку доступа, имитирующую легитимную сеть, с целью перехвата трафика, кражи учётных данных или внедрения вредоносного программного обеспечения. Атака относится к категории «человек посередине» (MITM) и эксплуатирует доверие пользователя к знакомому имени сети (SSID).

Принцип работы

Атака Evil Twin основана на том, что большинство устройств (смартфоны, ноутбуки, планшеты) автоматически подключаются к сетям Wi-Fi, которые они уже использовали ранее. Злоумышленник создаёт точку доступа с тем же идентификатором SSID (например, «Free_WiFi», «Starbucks_Guest» или «Office_Network»), что и легитимная сеть. Устройство жертвы, находясь в зоне действия поддельной точки, может автоматически переключиться на неё, если сигнал Evil Twin окажется сильнее сигнала настоящей сети.

После подключения весь трафик пользователя проходит через точку доступа злоумышленника. Атакующий может:

  • Перехватывать незашифрованные данные (логины, пароли, содержимое писем).
  • Перенаправлять пользователя на фишинговые страницы, имитирующие страницы входа в популярные сервисы (социальные сети, банки, почтовые клиенты).
  • Внедрять в передаваемые данные вредоносный код (например, через подмену загружаемых файлов).
  • Проводить атаки на протоколы SSL/TLS (SSL stripping), понижая уровень защиты соединения.

Для создания Evil Twin достаточно ноутбука или одноплатного компьютера (например, Raspberry Pi) с Wi-Fi-адаптером, поддерживающим режим монитора, и специального программного обеспечения (например, airbase-ng из пакета aircrack-ng, hostapd, dnsmasq). В более сложных сценариях атакующий может использовать направленные антенны для увеличения радиуса действия поддельной сети.

Отличие от других атак

Evil Twin часто путают с атаками типа «Rogue Access Point» (неавторизованная точка доступа) и «Honeypot» (ловушка). Основные различия:

  • Rogue Access Point — это точка доступа, установленная в корпоративной сети без разрешения администратора (например, сотрудником). Она может быть как вредоносной, так и случайной. Evil Twin — всегда вредоносная имитация легитимной сети.
  • Honeypot — это намеренно созданная уязвимая система для привлечения атакующих и изучения их методов. Evil Twin, напротив, нацелен на обычных пользователей и не предназначен для исследовательских целей.

История

Первые упоминания об атаке Evil Twin относятся к началу 2000-х годов, с распространением общедоступных Wi-Fi-сетей в кафе, аэропортах и гостиницах. В 2002 году исследователь безопасности Марк Лоу (Marc Low) продемонстрировал концепцию на конференции Black Hat. В 2000-х годах атака активно использовалась для кражи паролей к почтовым сервисам и социальным сетям через поддельные страницы входа.

С развитием протоколов шифрования (WPA2, WPA3) и внедрением HTTPS атака не утратила актуальности, поскольку многие пользователи по-прежнему игнорируют предупреждения браузера о небезопасном соединении, а часть трафика (например, DNS-запросы) остаётся незашифрованной. В 2010-х годах Evil Twin стала частью более сложных многоступенчатых атак, включая использование инструментов вроде Wi-Fi Pineapple (портативное устройство для пентестов, производимое компанией Hak5).

Методы защиты

Для пользователей

  • Отключение автоматического подключения к Wi-Fi-сетям. Рекомендуется вручную выбирать сеть и подтверждать подключение каждый раз.
  • Использование VPN (виртуальной частной сети) для шифрования всего трафика, даже при подключении к незащищённой точке доступа.
  • Внимательная проверка адресной строки браузера: наличие HTTPS и корректного доменного имени. При вводе учётных данных следует убедиться, что страница не является подделкой.
  • Использование двухфакторной аутентификации (2FA) для всех важных сервисов.
  • Регулярное обновление операционной системы и приложений для устранения известных уязвимостей.

Для организаций

  • Развёртывание систем обнаружения и предотвращения вторжений (IDS/IPS), способных выявлять подозрительные точки доступа.
  • Использование протокола WPA3-Enterprise с аутентификацией 802.1X, который обеспечивает взаимную проверку подлинности клиента и точки доступа.
  • Внедрение политики безопасности, запрещающей подключение к неавторизованным Wi-Fi-сетям.
  • Регулярное проведение аудитов безопасности беспроводной инфраструктуры (в том числе с использованием сканеров спектра и анализаторов трафика).

Правовой статус

Создание и использование Evil Twin в целях несанкционированного доступа к информации, её перехвата или модификации является уголовно наказуемым деянием в большинстве стран мира, включая Российскую Федерацию. В зависимости от последствий, действия злоумышленника могут квалифицироваться по статьям Уголовного кодекса РФ, связанным с неправомерным доступом к компьютерной информации (ст. 272 УК РФ), нарушением тайны переписки (ст. 138 УК РФ) или мошенничеством (ст. 159 УК РФ). В ряде юрисдикций (например, в США) за подобные атаки предусмотрены многолетние сроки лишения свободы.

Источники

  • Статья «Evil Twin Attack» в базе знаний OWASP (Open Web Application Security Project).
  • Материалы конференции Black Hat 2002 года (доклад Марка Лоу).
  • Техническая документация по инструменту Wi-Fi Pineapple (Hak5).
  • Уголовный кодекс Российской Федерации, статьи 138, 159, 272.
  • Руководство по безопасности беспроводных сетей (NIST Special Publication 800-153).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →