Nel vasto panorama delle minacce informatiche, l’attacco Evil Twin emerge come una delle tattiche più insidiose utilizzate dai cyber criminali per compromettere la sicurezza delle reti Wi-Fi. Questo articolo esplora in dettaglio la natura degli attacchi Evil Twin, come vengono eseguiti e le misure preventive per mitigare tali minacce.

attacco evil twin

Cos’è un attacco Evil Twin?

L’attacco Evil Twin è un tipo di attacco man-in-the-middle (MitM) che si verifica a livello di dominio delle reti wireless.
In questa tattica, un aggressore crea una rete Wi-Fi malevola che imita l’aspetto di una rete legittima, al fine di ingannare gli utenti inconsapevoli a connettersi a essa invece che alla rete originale.

La modalità operativa degli attacchi Evil Twin è ben più articolata e mira a trarre in inganno gli utenti, spingendoli a connettersi a reti Wi-Fi create dagli stessi attaccanti e camuffate da reti legittime.
Ecco una sequenza tipica di come si sviluppa questo tipo di attacco:

  1. Selezione di una località con Wi-Fi pubblico
    Gli attaccanti prediligono luoghi affollati dotati di Wi-Fi gratuito, come aeroporti, bar o hotel. Tali luoghi spesso presentano diversi punti di accesso con lo stesso nome, agevolando così l’infiltrazione nella rete Evil Twin discreta.
  2. Configurazione di un punto di accesso Wi-Fi
    L’hacker crea un nuovo hotspot, utilizzando lo stesso nome SSID della rete autentica. Talvolta, viene impiegato un dispositivo come il WiFi Pineapple, un router specializzato utilizzato dagli hacker per intercettare dati sensibili.
  3. Creazione di una pagina captive portal fasulla
    Prima di accedere a una rete Wi-Fi pubblica, gli utenti sono spesso indotti a inserire dati in una pagina di accesso, anche nota come captive portal.
    Gli hacker replicano tale pagina, al fine di ottenere le credenziali di accesso e altre informazioni riservate.
  4. Persuasione delle vittime
    Posizionando il punto di accesso fraudolento in prossimità delle potenziali vittime, gli hacker assicurano un segnale più forte, spingendo gli utenti a connettersi alla rete malevola anziché a quella autentica, che risulterà più debole.
  5. Raccolta dei dati
    Una volta connessi alla rete Evil Twin, gli hacker monitorano l’attività online della vittima, raccogliendo credenziali di accesso e altre informazioni sensibili qualora la vittima acceda a account come quelli dei social media o servizi di online banking.

evil twin attacks

Come si svolge un Evil Twin attack

Un attacco Evil Twin si articola generalmente in diverse fasi ognuna delle quali è fondamentale per la buona radicazione della minaccia.
Ecco una spiegazione dettagliata di un attacco Evil Twin, utilizzando un esempio pratico per illustrare meglio i concetti:

Selezione della vittima e analisi della rete

Supponiamo che ci sia una caffetteria con una rete Wi-Fi gratuita chiamata “CafeNet”. Un hacker decide di attaccare i clienti di questa caffetteria.
L’attaccante inizia ad analizzare la rete “CafeNet” per ottenere informazioni come SSID, tipo di crittografia utilizzata e la pagina di login, se presente.

Creazione dell’Evil Twin

L’hacker configura ora una propria rete Wi-Fi utilizzando un dispositivo come un laptop o un Raspberry Pi con una scheda wireless che supporta la modalità monitor e AP (Access Point). Configura la sua rete con lo stesso SSID “CafeNet” e crea una pagina di accesso simile a quella della rete Wi-Fi della caffetteria.

Amplificazione del segnale

L’hacker potrebbe utilizzare un amplificatore di segnale per assicurarsi che il segnale del suo Evil Twin sia più forte di quello della rete legittima, aumentando così le probabilità che i dispositivi si connettano al suo Evil Twin invece che alla rete legittima del bar.

Connessione delle vittime

Quando i clienti della caffetteria cercano di connettersi a “CafeNet”, alcuni potrebbero connettersi accidentalmente all’Evil Twin dell’hacker a causa del segnale più forte. Quando inseriscono le credenziali o accedono a siti web, l’hacker può registrare tutte queste informazioni e farne ciò che preferisce.

Interferenza

Ora che l’hacker ha ottenuto l’accesso al traffico di rete delle vittime, detiene sostanzialmente il controllo di alcune risorse e può compiere diverse azioni:

  • Intercettazione: l’attaccante avendo accesso libero ai dati di navigazione dell’utente può intercettare e registrare tutti i dati trasmessi tra la vittima e la rete.
  • Iniezione di malware o altre minacce: l’hacker potrebbe trasmettervi alcuni file infetti e quindi installare malware nei dispositivi connessi.
  • Phishing: l’hacker potrebbe reindirizzare le vittime a siti di phishing per ottenere ulteriori informazioni come credenziali bancarie.

Terminazione

Dopo aver raccolto abbastanza dati o aver raggiunto il suo obiettivo, l’hacker disconnette l’Evil Twin e se ne va, lasciando le vittime ignare del fatto che siano state attaccate. Questo esempio illustra come un Evil Twin attack possa essere eseguito in una situazione del mondo reale, mettendo in luce l’importanza di adottare misure preventive per proteggere i dati e le reti wireless.

Come si riconosce una rete Evil Twin?

Riconoscere una rete Evil Twin può essere difficile poiché essa è progettata per apparire come una rete legittima.
Tuttavia, ci sono alcune misure che puoi considerare per identificarla e proteggerti:

  1. Verifica l’SSID e il MAC Address
    • Se vedi due reti con lo stesso SSID, potrebbe essere un segnale di allarme. Tuttavia, non è una prova definitiva poiché potrebbe esserci una configurazione di rete legittima con più access point.
    • Puoi anche controllare l’indirizzo MAC dell’access point (se è disponibile) e confrontarlo con quello dell’access point legittimo.
  2. Pagina di accesso sospetta
    • Se una rete Wi-Fi pubblica ti chiede di inserire informazioni sensibili attraverso una pagina di accesso, potrebbe essere un segnale di allarme. Le pagine di accesso legittime di solito richiedono solo una password o l’accettazione dei termini di servizio.
  3. Certificati SSL
    • Se ti connetti a una rete e noti che i certificati SSL dei siti web appaiono come non validi o sospetti, potrebbe essere un segnale che sei su una rete Evil Twin.
  4. Controlla con il proprietario della rete
    • Se sei in un luogo pubblico come un caffè o un hotel, puoi sempre chiedere al personale quale sia l’SSID della loro rete Wi-Fi e se hanno più di un access point.
  5. Utilizza applicazioni di scansione di rete
    • Esistono applicazioni e software che possono aiutarti a analizzare le reti wireless nelle vicinanze e identificare possibili reti Evil Twin attraverso anomalie come indirizzi MAC sospetti o forza del segnale inconsistente.
  6. Utilizza una VPN
    • Anche se non ti aiuta a identificare una rete Evil Twin, l’utilizzo di una VPN (Virtual Private Network) cripterà il tuo traffico, rendendo molto più difficile per un attaccante ottenere accesso ai tuoi dati.

Alcune considerazioni finali

Gli attacchi Evil Twin rappresentano una minaccia davvero pericolosa nel panorama della cybersecurity, sfruttando la vulnerabilità delle reti Wi-Fi per perpetrare azioni malevole. Mentre la tecnologia avanza, anche i malintenzionati affinano le loro tecniche, rendendo sempre più sfumate le linee tra le reti legittime e quelle malevole.

Tuttavia, attraverso una combinazione di consapevolezza, educazione, e l’adozione di misure preventive come l’utilizzo di autenticazione robusta, VPN e strumenti di monitoraggio della rete, è possibile costruire una difesa solida contro gli attacchi Evil Twin.

Mantenere un passo avanti rispetto agli aggressori richiede un impegno continuo nel rimanere informati sulle minacce emergenti e sulle migliori pratiche per mitigare i rischi associati. Questa proattività non solo proteggerà le risorse e i dati preziosi, ma contribuirà anche a creare un ambiente digitale più sicuro per tutti.

Articoli che potrebbero interessarti: