題 具有非常相似名稱的SSID,這是否是黑客的企圖?


我注意到我的WiFi中出現了另一個SSID,其名稱與我的相同(非常個人,因此只能被故意複製),但有幾個字母大寫。他們的版本沒有安全性。我有WPA-PSK2。我測試了它以確保通過拔掉我的路由器,而我的消失了一段時間後,他們仍然。

這是黑客的伎倆嗎?他們是否試圖利用它來滲透我的網絡 - 因為我只關閉了我認可的MAC地址 - 以為我會滑倒並加入他們的網絡?

例:

  • 我的SSID: bestfriend
  • 他們的SSID: BestFriend (與首都B&F)

140
2018-06-08 07:18


起源


更多人應該認真對待安全問題。它是可能的,如果是有針對性的攻擊我們稱之為惡意接入點,在那裡你模仿別人的名字,看看客戶是否連接到它。但我們需要更多信息,您的網絡名稱(ESSID)究竟是什麼以及有多少人使用它?這是個人網嗎?還有誰知道這個網絡?你女朋友有一個想要和她一起回來的前任嗎?你明白了......一些細節會很好。 - Nalaurien
...也許他們只是禮貌地要求你將你的SSID的大寫更改為“更正確的”,因為當他們在可用的網絡列表中看到它時,它會困擾他們?我可以想像自己這樣做...... “永遠不要歸咎於通過極端挑剔得到充分解釋的惡意”(?) - xDaizu
使用一次性機器連接到網絡,並嘗試使用nmap掃描整個子網,以查看它們的用途。 - André Borie
可能只是機會。你會對一些SSID(例如“FBI Surveillance Van”的變種)的受歡迎程度感到驚訝。 - Mark
謹慎行事,不要忽視SSL / TLS錯誤! - n00b


答案:


是的,它很可能是某種黑客行為,雖然這是為什麼的猜測。

我確實指出,將路由器鎖定到特定的MAC地址可能會提供一點點安全性,但並不多。

他們的行為也不太可能是為了破解您的網絡 - 他們更有可能嘗試捕獲您的流量。

如果是我,我會利用它們 - 我會得到一個廉價的VPN和一些專用硬件(低規格PC,大硬盤),將它連接到VPN和他們的網絡並且很難學習。由於您使用的是VPN,因此無法攔截您的流量,但在喚醒之前您可以消耗所有帶寬。 (你有合理的否定性“嘿,我以為我連接到了我的AP - 我使用了設備的SSID)

其他一些事情要考慮 - 可以想像這兩個AP實際上都是你的 - 一個在2.4 gig頻段,一個在5 gig頻段,而5 gig頻段根本就沒有加密。檢查您的路由器配置以排除這種情況和/或某種Wifi分析器(有一些可從Play商店獲得的Android),以幫助您通過查看信號強度來確定信號的來源。

注意de-auth數據包。如果他們試圖破解你的系統,如果他們試圖發送de-auth數據包來干擾你的連接,以增加你網絡上的某個人試圖連接到他們的機會,那就不會讓我感到驚訝。


130
2018-06-08 08:10



他提到他拔掉了路由器並且其他網絡仍然存在,這排除了它的5gig頻段。 - LPChip
這怎麼樣 合理的否認?您通過通常從未使用的VPN購買的廉價計算機上的帶寬。你是想騙一個5歲的孩子還是法官? - Mehrdad
當你的鄰居試圖欺騙你連接到他們的AP時,@ Mehrdad存在合理的否定性 - 你就墮落了。我的鄰居表現得像個黑客,因此獲得VPN來保護自己是完全合理的。 (另外,我不需要向法官撒謊,另一方是提出索賠的人 - 我的律師可以簡單地播下懷疑的種子)。我很好奇法律思想更好的想法,所以我在law.se的問題上提出了這個問題。law.stackexchange.com/questions/19482/...) - davidgo
@Mehrdad如果我要騙網絡黑客,我會在五歲之前把我的機會交給法官! - Auspex
無論“合理的否定性”如何,我認為提倡這種陰暗行為是不道德的,特別是因為根據管轄權,連接到開放接入點可能完全合法。 - StockB


聽起來這就是所謂的“邪惡雙胞胎“。

基本上,攻擊者創建了一個模仿你的網絡,所以你(或你的機器本身)連接到那個。正如davidgo所說,他通過向您的路由器發送de-auth數據包來實現這一目標,因此您必須重新連接。通過將自己的路由器的MAC地址更改為您的路由器,您的計算機將自動連接到攻擊者網絡(因為它的信號更強)。 這允許攻擊者通過中間人攻擊或將公共網站重定向到網絡釣魚站點的虛假DNS進一步傷害您。

現在你可以在這裡做一些科學並試圖證明這確實是一個意圖不好的攻擊者並報告它,或者只是利用“免費流量”,但由於可能會有一些DNS惡作劇,你可能冒險洩露敏感信息在填寫表格時不小心。


56
2018-06-08 09:42



通常,Evil Twin與SSID完全匹配。我認為通過資本化某些字母,他們試圖讓社會工程師成為潛在的受害者,並使非資本化的SSID看起來像壞的克隆。 “看看這個沒有資本化的克隆!它讓我點擊它做得很糟糕。顯然我應該點擊看起來更正式的大寫字母,並用一些思想來命名它。” - Corey Ogburn
如果攻擊者可以通過欺騙MAC地址使您的設備自動連接到路由器,為什麼攻擊者會擔心(可疑)SSID? - JimmyB
@JimmyB可能因為攻擊者無法管理“鑑於其信號更強”的前提條件。因此,不是去尋找不合作的計算機,而是選擇不專心的人。 - Kevin Fee
如果安全認證機制與原始無線網絡不完全相同,即使信號更強,計算機也不會連接到假網絡。 - pHeoz
@JimmyB一旦設備連接到您的假SSID,您就不需要欺騙任何MAC地址。在Evil Twin攻擊中,您嘗試通過為受害者提供相同的SSID來吸引受害者進入您的無線網絡,並干擾連接到真實用戶的客戶端(通過破壞信號或 - 更常見的是 - 強制他們從真實中解除驗證AP)。大多數人不會手動選擇SSID,因為他們的設備已經連接到他們家庭網絡的SSID,只有當你有一個新設備時,你才會查看可用網絡列表,這使你容易受到社會工程的影響 - BlueCacti


在調試無線連接問題時,今年早些時候我遇到了類似的“問題”。

我的建議是一個問題: 你有一個chromecast嗎?

連接問題最終完全是服務提供商的錯,但我真的被這個紅鯡魚SSID所困。通過在我的手機上使用wifi信號強度分析器應用程序,我跟踪它到chromecast(這是我的無線SSID的替代大寫),並有很多緩解。

編輯:。重要的是要注意Chromecast只需要電源(不是“互聯網”)來託管自己的wifi,它既可以連接到wifi,也可以託管自己的wifi。您可以連接到此,但除非您通過應用程序進行配置,否則它不會執行任何操作


43
2018-06-09 19:04



是的我擁有Chromecast。但是MAC地址被添加到原始路由器中,當我在那天晚上拔掉路由器時它也無法工作。 - K. Pick
我將補充一點,我的Chromecast也被命名為SantoRican,但由於它沒有連接到互聯網,Wifi已關閉,因為它處於脫機狀態。當他來修理wifi時,有線電視的傢伙檢查了它,但說這不是造成這個問題的原因。 (但你永遠不知道他可能是錯的) - K. Pick
@ K.Pick Chromecast可以充當主機,因此您可以使用手機連接並配置它。 - emed
這似乎是最可能的答案。狡猾的人可以使用其他更有趣,更不明顯的方式。該 “替代資本化” 應該是粗體,因為這是我認為最明顯的線索。 - KalleMP
@ K.Pick:不要開始猜測路由器中如何列出chromecast。只需拔下chromecast並檢查SSID是否仍然存在。 - yankee


好吧 - 你似乎非常認真地對待安全問題。有人可能試圖誘騙人們加入其他網絡。開始考慮這個問題的最好方法是將你的SSID更改為不同的東西 - 也是非常具體的,例如用一些數字代替字母的單詞,看看SSID是否與你的SSID相似 - 也許你的意志是 st0pthis 和他們的 StopThis。如果您事先記錄了他們的SSID MAC地址,以查看其他SSID是否發生了變化,您可能會更加懷疑。

在linux上查看MAC地址的好方法是 iwlist YourInterfaceName scanning | egrep 'Cell |Encryption|Quality|Last beacon|ESSID' 當然,您可以並且確實應該監控網絡中的更改和可疑活動,以及更新您的計算機。


14
2018-06-08 07:48



@ r0berts應該強烈推薦選擇。 - wizzwizz4
我明白了。但平均而言,我會說人們不知道如何監控他們的網絡,所以沒有必要讓他們為此感到內疚。但是要點) - r0berts
即使只是讓你的系統與補丁保持同步,並且擁有一些基本的計算機衛生(阻止傳入默認防火牆,最新的防病毒), 很長的路 確保您的系統安全。不幸的是,這是連接到互聯網的任何系統今天所需的最低要求。您可以將任何隨機系統連接到互聯網而沒有任何預防措施的日子早已過去...... - α CVn
我完全同意這一點。如果可以減少監控網絡的複雜性,那將是非常好的,這仍然需要花費大量的時間來為家庭局域網學習。 - r0berts


簡單的把戲,

更改您的SSID並隱藏它,看看會發生什麼。 如果他們再次復制您的SSID,那麼您就知道自己遇到了麻煩。

極端模式

將本地DHCP網絡範圍更改為未在開放網絡上使用的範圍

如果可能,請配置靜態IP,以便您的PC無法使用開放式WiFi

在PC上配置WiFi設置,不要使用開放的WiFi熱點

將您的WiFi密碼更改為以下內容: HSAEz2ukki3ke2gu12WNuSDdDRxR3e

在路由器上更改管理員密碼只是為了確保。 最後在所有設備(也包括手機)上使用VPN客戶端

您使用MAC過濾,這是一個很好的低級別安全功能。 最後,使用第三方防火牆和AV軟件並將設置設置為惱人安全,因此您必須批准幾乎所有必須對互聯網或網絡活動執行某些操作的操作。

一旦你習慣了這些東西,它將變得更容易維護,你的防火牆將放鬆,因為它從你的行為中學習。

讓我們發布! :)


11
2018-06-09 07:02





是的,這正是您的想法:有人試圖欺騙您錯誤地加入他們的網絡。不要連接到它。如果您意識到自己剛才這樣做,請運行防病毒掃描並刪除您已下載的任何數據,因為它無法信任。如果您碰巧也通過此惡意連接發送密碼等敏感數據,請立即更改。

如果此接入點在一段時間後不會消失,我建議您採取合理的措施使其停止(例如要求您的鄰居停止或告訴他們的孩子停止)。能夠顯示WiFi信號強度的設備(如手機)應該可以讓您精確地跟踪此接入點的位置。


10
2018-06-08 13:00



我建議用於跟踪它的應用程序inssider。它由metageek的精彩人士創造。 - Rowan Hawkins


很多時候擔心安全問題的人只是偏執狂。在這種情況下,您有一個非常合理的理由。

它不會100%惡意結束惡意 可以 試圖惡作劇的IT精明鄰居,讓我們說通過將網站請求重定向到一個笑話網站。或者有人試圖建立自己的網絡並且碰巧模仿你的網絡(但我傾向於懷疑,現在任何路由器默認都會有密碼要求)。但基本上,這個人可以看到你的很多流量,你訪問的網站,你發送和接收的內容,除了加密的內容(還有很多沒有加密)。這可能是勒索,間諜,跟踪。另一方面,它不是非常複雜,很容易發現,所以誰知道。

更重要的是,這不是外國黑客的一般性大規模全球攻擊,它意味著物理接入點位於您家附近或家中。如果我是你,我願意  提醒他們,但試著找到它。如果您有保險絲盒,請一次關閉一個電源,等待五分鐘,看看接入點是否消失。這會告訴你它是否在你家裡。否則,你可以使用三角測量,手機上的GPS記錄器信號強度,並在附近散步,或者Pringles可以找到它的大致位置。你可能會找到一個帶刀,埋葬的盒子或鄰居的書呆子小孩的老前任。如果他們足夠關心這樣做,他們可能也會有音頻錯誤。首先追踪它的位置,如果它在某人的房子裡面,那麼你可能想要從工作中召喚一名保鏢並開門敲門。


9
2018-06-10 07:22



我也認為在關閉之前找出網絡的位置會很有趣。上面的Chromecast答案可能是良性的解釋。 - KalleMP
互聯網公司上網後,ssid消失了,所以我相信如果是附近的人,他們可能已經看到了卡車並將其拉下來。 - K. Pick


到目前為止,其他答案足以讓您了解這一具體情況。

但是應該注意,您已經註意到可能試圖入侵您的私人數據的情況。還有其他情況下,這種攻擊不太容易被發現。例如。如果你的鄰居知道你的Wifi密碼,你可以告訴他們,當他們請問時,因為他們是房子裡的新人,而且自己的上行鏈路尚未準備就緒。但最糟糕的是:如果您使用的是未加密的Wifi(或密碼通常已知的那種),例如酒店或機場Wifi,這些攻擊將很難被發現,因為攻擊者可以設置完全相同的無線網絡設置(相同的密碼和相同的SSID),您的設備將自動連接到最強的信號,從不告訴您它做出了選擇。

實際保持安全的唯一選擇是加密所有流量。切勿在未經SSL / TLS加密的網站上輸入您的密碼,電子郵件地址,信用卡號或任何其他信息。考慮將未加密網站的下載視為已洩露(可能已註入惡意軟件)。在加密網站上輸入/下載數據之前,請檢查您是否在正確的域中(google.com,而不是giigle.com。如果您在不想與之交談的域中,SSL將無法提供幫助)。安裝 HTTPS-無處不在 或者類似還要記住,除了您的webbrowser之外還有其他可能傳輸數據的服務,例如IMAP電子郵件客戶端。確保它也僅在加密連接上運行。如今,幾乎沒有任何理由不加密你的所有流量,但是一些開發人員只是懶惰等。如果你需要使用一些不支持SSL或類似安全措施的應用程序,那麼使用VPN。請注意,除了VPN提供的加密之外,VPN提供商仍然可以讀取所有未加密的流量。


2
2018-06-13 19:01