Житель Австралии установил поддельный бесплатный Wi-Fi в нескольких аэропортах и на рейсах, чтобы красть данные людей. Подобные случаи фиксировали и в России — злоумышленники пытались таким образом угнать аккаунты пользователей Telegram. Основная проблема в том, что однозначных и универсальных внешних признаков подделки не существует.
Wi-Fi-имитация
42-летнему жителю Австралии предъявлено девять обвинений в киберпреступлениях, и он должен предстать перед мировым судом, пишет Guardian. Федеральная полиция Австралии утверждает, что мужчина создал сети Wi-Fi, которые имитировали официальные, чтобы обманом заставить пользователей вводить свои личные данные.
Предположительно, поддельные сети беспроводного доступа в интернет были созданы в аэропортах Перта, Мельбурна и Аделаиды, на внутренних рейсах и в других местах, которые, по словам полиции, были связаны с предыдущим местом работы мужчины. Полиция утверждает, что поддельные сети Wi-Fi мужчины приводили пользователей на фиктивную страницу, которая запрашивала их электронную почту или данные для входа в социальную сеть. Затем эти данные могли быть использованы для доступа к личной информации, включая онлайн-переписку, фотографии, видео или банковские реквизиты.
В апреле аналогичная схема с поддельными точками Wi-Fi действовала в московских аэропортах Шереметьево и Внуково, рассказал TelecomDaly начальник отдела информационной безопасности компании «СёрчИнформ» Алексей Дрозд. Об угрозе предупреждала служба безопасности Шереметьево. На территории аэропортов злоумышленникам удалось развернуть поддельные сети, замаскированные под названиями SVO_Free и VKO_Free. В обоих случаях мошенническая «страничка подключения» просила ввести номер телефона и некий код доступа.
Коды действительно приходили жертвам — но в Telegram, являясь, по сути, одноразовым паролем. Таким образом мошенники угоняли Telegram-аккаунты: меняли номер владельца, как только получали доступ в аккаунт по одноразовому коду, пояснил Алексей Дрозд.
По словам эксперта, это не исключительные, но самые заметные случаи за последнее время. «Сама же схема не новая: сообщения об опасностях, связанных с публичным Wi-Fi, появились сразу после распространения технологии в общественных местах», — отмечает Алексей Дрозд.
Как и зачем крадут данные
Большой технической хитрости для того, чтобы украсть данные, нет: логика у подставных точек доступа такая же, как у фишинговых сайтов, говорит Алексей Дрозд. Жертвы сами вводят свои данные, то есть в основе лежит социальная инженерия. Создатели фейковых Wi-Fi-точек «втираются в доверие» к пользователю под видом легитимного сервиса (например, назвав точку Aeroport_free или Vnukovo_free) убеждают ввести личные данные. Это могут быть те же логин и пароль от почты, или код проверки, поступивший, например, в Telegram. «Так владельцы аккаунтов собственноручно передают доступ злоумышленникам, при этом после ввода данных жертва к Wi-Fi не подключается. Мошенники тем временем используют введенные коды подтверждения для "перепривязки" аккаунтов к другим номерам или меняют пароль в указанной пользователем почте, так что владелец теряет доступ», — сообщил Алексей Дрозд.
Как правило, в таких схемах злоумышленники охотятся за аккаунтами: почтовыми или в соцсетях, рассказал также эксперт. К таким аккаунтам может быть привязано множество других сервисов, включая платежные. Завладев, например, почтой, мошенник может расширить свою вредоносную активность. Самое безобидное, если скомпрометированный аккаунт включат в базу спам-рассылки.
Но могут быть сценарии хуже:
- через почту запросят сброс пароля от тех или иных сервисов;
- начнут распространять с нее фишинговые письма и вредоносы;
- захватят устройства жертвы;
- доберутся до критичной информации в облачных хранилищах и т.д.
«Конечная цель любого подобного мошенничества — деньги. Так что все украденные данные мошенники постараются монетизировать, или напрямую добравшись к счетам жертвы, или продав информацию на черном рынке, или путем шантажа», — говорит Алексей Дрозд.
Можно ли отличить поддельную сеть Wi-Fi от реальной?
Определить, что Wi-Fi был развернут злоумышленником, практически невозможно, утверждает руководитель отдела анализа защищенности Solar JSOC компании «Солар» Александр Колесов. «В этом и заключается суть подобной атаки. Хакеры создают точку доступа, которая повторяет имена существующих (например, имитируют название городского Wi-Fi или Wi-Fi аэропорта)», — отмечает эксперт.
Это подтверждает и Алексей Дрозд. Однако если в процессе авторизации пользователь замечает странности, лучше оставить попытки подключиться, советует он. Например, если код подтверждения доступа пришел не по SMS, а в какой-либо соцсети, вводить его на страничке подключения явно не стоит. «Насторожить должно любое отклонение от привычного вам алгоритма. Правила подключения обычно изложены на официальных страницах организаций, на территории которых развернут Wi-Fi. Если возникают сомнения или информацию в официальных каналах нужного сервиса (аэропорта, ресторана) найти не удается, стоит обратиться за помощью к сотруднику сервиса», — подчеркнул Алексей Дрозд.
Александр Колесов советует без острой необходимости не подключаться к публичным Wi-Fi сетям, даже тем, которые кажутся легитимными. А если подключились, то не заходить на сайты, где хранятся персональные данные и другая ценная информация. «Если же зайти на такой ресурс необходимо, то используйте VPN, который зашифрует данные, и даже если они попадут в руки хакерам, последние их не увидят и не смогут ими воспользоваться», — отметил он.
Александр Колесов, впрочем, указывает, что хоть владелец открытой сети и имеет доступ к любым данным, которые через нее передаются, однако это справедливо только в том случае, если сайт, к которому обращается пользователь, не имеет шифрования (к нему можно пройти по протоколу http). Таких сайтов осталось совсем немного и, как правило, они не хранят конфиденциальные данные пользователей. Большинство же ресурсов все-таки поддерживают протокол https и перехватить с них данные очень сложно.
Правила безопасности при подключение к публичным сетям
При использовании бесплатных общественных сетей всегда возникают угрозы, хотите избежать их наверняка — просто не подключайтесь, говорят эксперты в сфере кибербезопасности.
Но все не так страшно, риски сводятся к минимуму, если соблюдать простые правила безопасности. О их рассказал Алексей Дрозд.
- Убедиться, что точка доступа принадлежит условному кафе, а не хакеру — уточните на официальных ресурсах или у сотрудников заведения, какой Wi-Fi точно их, и как именно выглядит процедура авторизации. При несовпадениях лучше отказаться от подключения.
- Не вводить логин/пароль на непроверенных сайтах.
- Для защиты своих аккаунтов использовать двухфакторную аутентификацию, установить облачный пароль и т.п. Несколько слоев защиты лучше, чем один «логин\пароль».
- Проверять сервисы, в которых необходимо авторизоваться через публичный Wi-Fi, на «оригинальность». Это можно сделать через любой Whois-сервис, например, на Reg.ru. Свежая дата регистрации домена должна насторожить — фишинговые сайты долго не живут.
А австралийских граждан после описанного выше случая предупредила инспектор по борьбе с киберпреступностью Австралийской федеральной полиции Андреа Коулман. Она заявила, что следует быть осторожными при входе в общественные сети Wi-Fi и посоветовала не вводить какие–либо личные данные, например, входить в систему через электронную почту или учетную запись в социальных сетях. Чиновница также рекомендовала всем, кто пытался подключиться к сетям бесплатного Wi-Fi в аэропортах или на внутренних рейсах, сменить свои пароли и сообщать о любых подозрительных действиях в полицию.
Фото: Adobe Stock