Analisi di un attacco Evil Twin

Una tecnica di attacco che unisce due metodi differenti e trova terreno fertile nei luoghi pubblici.

Quanto spesso capita di prestare attenzione alla rete a cui ci colleghiamo?
Davvero pochissime volte.
Spesso e volentieri siamo talmente immersi nella ricerca spasmodica di una connessione di rete al volo, che nemmeno ci rendiamo conto a chi ci stiamo effettivamente collegando.

Ormai connettersi ad un hotspot è diventata una vera e propria abitudine, specialmente da quando è possibile lavorare in mobilità sfruttando direttamente il proprio smartphone. Per questo motivo i cybercriminali hanno ben pensato di sfruttare questa nostra debolezza a proprio vantaggio.
Il risultato si chiama Evil Twin, un attacco condotto mediante un finto hotspot Wi-Fi libero, che attende solo la nostra connessione.
Ma come sempre andiamo con ordine e analizziamo l’argomento per gradi.

Cos’è un attacco Evil Twin?

Evil Twin Attack è la combinazione di due metodologie di attacco già ampiamente collaudate e conosciute: Man-in-the-Middle e Spoofing.
Il nome scelto non è casuale, in quanto si basa sulla creazione di un hotspot gemello che simula in tutto e per tutto una connessione di rete Wi-Fi legittima.
Quando un utente distratto finisce per connettersi a questo finto access point, finirà per regalare inconsapevolmente tutti i suoi dati al cybercriminale.
Questo perché l’hotspot evil twin filtrerà il traffico di rete attraverso un server gestito direttamente dal malintenzionato, piuttosto che passare da uno legittimo gestito direttamente dall’amministratore di rete.

In genere gli attacchi di questo tipo sono molto più diffusi nei luoghi pubblici, in quanto vi è una maggior necessità degli utenti a doversi collegare ad un hotspot fisso messo a disposizione dalla struttura o nel punto in cui si trovano.
Generalmente le connessioni di questo tipo sono quelle che andrebbero maggiormente evitate, proprio perché i loro livelli di sicurezza sono bassissimi, con totale assenza di password d’accesso e dati degli utenti connessi sono esposti.

Un attacco evil twin può essere realizzato sia mediante un dispositivo che dispone di una connessione cablata, che con un semplice smartphone.
Solitamente la scelta ricade proprio su quest’ultimo, in quanto si tratta di un dispositivo molto comune nelle aree pubbliche, con cui è facile mimetizzarsi e passare inosservati.

evil twin attack

Come funziona l’attacco?

Avendo già stabilito in precedenza che evil twin basa tutto su una connessione di rete Wi-Fi, il primo passo da compiere è proprio disporre di un dispositivo capace di camuffarsi da hotspot e da impiegare per condurre l’attacco. Di seguito sono riportati gli step che il malintenzionato segue per mettere in atto l’attacco in un luogo pubblico.

Ricerca del luogo ideale

Generalmente gli hacker e i criminali informatici cercano sempre un luogo definito ideale per condurre l’attacco.
Le opzioni che passano al loro vaglio spaziano tra caffetterie, biblioteche, centri commerciali, parchi pubblici che dispongono di un’infrastruttura di rete, o aeroporti. Questo perché si tratta di luoghi molto affollati in cui si può passare pressoché inosservati.

Creazione dell’access point

Selezionato il luogo ideale, gli attaccanti passano all’azione.
Dopo aver scansionato l’area e individuato il legittimo SSID (Service Set Identifier) della rete locale, questi creano un nuovo access point di rete con lo stesso SSID, in modo da rendere indistinguibile l’access point sicuro da quello malevolo.
Spesso e volentieri i malintenzionati possono impiegare un Wi-Fi Pineapple per estendere maggiormente il loro campo d’azione.

Incoraggiare le vittime a connettersi al loro hotspot Wi-Fi

Poiché la stabilità e la velocità di connessione di una rete Wi-Fi dipendono dalla distanza effettiva tra l’utente e l’hotspot, i criminali si spostano di continuo lungo il perimetro designato. Questo per invogliare quanto più possibile le potenziali vittime a connettersi al loro hotspot, attirandole con un segnale di rete molto più forte rispetto a quello reale.

Impostare un finto captive portal

Negli ultimi anni le connessioni Wi-Fi pubbliche richiedono l’autenticazione da parte degli utenti mediante un captive portal, in cui viene richiesto l’inserimento di determinate credenziali fornite dalla struttura che li ospita. Questo non è un problema per i malintenzionati, che si occupano di effettuare una copia precisa di questa pagina web, in modo che le ignare vittime inseriscano su questa i dati richiesti.
Nel momento in cui un utente effettua il login, il gioco è compiuto: i criminali possiedono le credenziali della struttura.

Compiere il furto

Con le credenziali della struttura in loro possesso, il gemello malevolo attivo e il captive portal pronto ad accogliere le vittime, i criminali possono iniziare il loro furto di dati. Questo è infatti il classico attacco Man-in-the-Middle, in quanto chi si connette all’hotspot evil twin permette agli attori malevoli di porsi nel bel mezzo della sessione e monitorare ogni singola attività che questi compie in rete.
La cosa è resa ancora più preoccupante dal fatto che chi è effettivamente connesso alla rete, non sospetta assolutamente nulla.
Per cui può tranquillamente effettuare il login al proprio portale bancario, regalando così le sue credenziali ai cybercriminali. Se poi l’utente utilizza le stesse identiche credenziali per più account, ecco che la situazione assume dei toni a dir poco tragici.

Come si può evitare di cadere vittima dell’attacco Evil Twin?

Alla luce di quanto discusso nei paragrafi precedenti, di seguito sono elencati una serie di accorgimenti da prendere in considerazione per evitare un attacco evil twin.

Evita hotspot Wi-Fi contrassegnati come “non sicuri”
Se si ha la necessità di doversi collegare ad una rete in un luogo pubblico, meglio evitare reti segnalate come non sicure.
Questo perché si tratta di connessioni prive di misure di sicurezza adeguate, che i malintenzionati potrebbero copiare senza problemi.
Si aggiunge inoltre che i moderni sistemi operativi, come iOS e Android, segnalano automaticamente quali reti sono attendibili e quali non lo sono.

Usa il tuo stesso hotspot invece che quello pubblico
L’hotspot personale è molto più sicuro rispetto a quello pubblico, in quanto siamo noi stessi a impostarlo, per cui si ha la certezza di connettersi ad una rete sicura e monitorata solo da noi. In tal modo si evita completamente la trappola evil twin che un malintenzionato potrebbe aver piazzato nella nostra stessa area.

Controlla le notifiche di allerta
Se il tuo dispositivo ti avvisa che la connessione a cui si sta tentando di accedere non è sicura, allora disconnettiti immediatamente, in quanto è stato rilevato un traffico di rete molto sospetto. Solitamente queste notifiche vengono sempre ignorate dall’utente, con tutte le conseguenze negative che ne conseguono. Per cui prendi nota e segui questo consiglio.

Disattiva la connessione automatica
Quando un dispositivo esegue una connessione automatica, memorizza nella propria cache le credenziali di accesso. Ciò costituisce un rischio nei luoghi pubblici, in quanto potrebbe essere presente un hotspot evil twin, a cui il dispositivo potrebbe collegarsi automaticamente.
Per questo motivo è sempre consigliato disattivare la connessione automatica per le reti presenti nei luoghi pubblici.

Evita il login nei tuoi account privati se sei connesso a reti Wi-Fi pubbliche
Laddove possibile, evita l’accesso ai tuoi account bancari e alle transazioni monetarie se connesso ad un Wi-Fi pubblico. Un attore malevolo può impossessarsi delle tue credenziali in un nulla, se erroneamente dovessi connettersi ad un hotspot evil twin.

Usa l’autenticazione in più fattori
Mediante l’autenticazione in più fattori, gli attori malevoli non riescono ad accedere alla seconda parte della verifica d’accesso nel tuo account privato. Questo rafforza la sicurezza dei tuoi dati sensibili.

Naviga solo su siti che fanno uso del protocollo HTTPS
A differenza del classico protocollo HTTP, l’HTTPS possiede un ulteriore livello di sicurezza, che garantisce la criptazione end-to-end della navigazione di rete. Ciò rende molto difficile ai cybercriminali tenere traccia della tua attività online.

Conclusione

La distrazione, la fretta e la nostra bassa attenzione alle notifiche che ci arrivano quotidianamente dai nostri dispositivi, ci espongono a notevoli pericoli in maniera del tutto inconsapevole. Queste nostre abitudini hanno fatto sì che i cybercriminali trovassero terreno fertile e che tecniche d’attacco come l’evil twin iniziassero a prendere piede in maniera sempre più diffusa.
Come sempre la soluzione migliore resta sempre quella di prestare attenzione a cosa si fa, a quali siti web si accede e soprattutto a quale hotspot ci si sta collegando. In fondo, è meglio perdere qualche secondo in più e leggere attentamente, piuttosto che perdere interi anni di carriera e di vita per il nostro essere stati eccessivamente frettolosi.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, laureato in Informatica e Comunicazione Digitale e grafico ACP. Ha mosso i primi passi nel mondo dell’informatica grazie ai videogiochi, divenendo in seguito appassionato di motori grafici. Scrive per passione da quando aveva sei anni e non immaginava di certo che un giorno sarebbe diventata una sua professione.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.