"
Как работает подмена точки доступа (Evil Twin)
Мошенник настраивает свой ноутбук или портативный роутер так, чтобы он транслировал Wi-Fi сеть с точно таким же именем (SSID), как и легитимная сеть кафе, например, «Cafe_Free_WiFi». Устройство жертвы, настроенное на автоматическое подключение к сетям с этим именем, видит две сети с одинаковым SSID. По умолчанию многие устройства подключаются к той, у которой сильнее сигнал. Мошенник может просто усилить мощность передачи, и ваше устройство выберет его сеть.
Более продвинутая атака использует деаутентификацию. Мошенник отправляет специальные пакеты, которые принудительно отключают ваше устройство от настоящей сети. Как только соединение разорвано, устройство автоматически ищет доступные сети и видит «Evil Twin» — сеть с тем же именем, но теперь она единственная в списке. Вы подключаетесь, даже не заметив подмены.
После подключения к «злой двойник» может работать в двух режимах:
- Прозрачный прокси: просто пропускать ваш трафик дальше в интернет, но при этом его перехватывать и анализировать.
- Изоляция: полностью отрезать вас от реального интернета, создавая иллюзию работы сети, но на самом деле вы находитесь в локальной сети мошенника, где он контролирует всё содержимое.
В изолированной сети мошенник может подменить любую страницу, которую вы пытаетесь открыть. Например, вместо сайта банка вы увидите его точную копию, но все введённые данные отправятся напрямую к атакующему.
Перехват трафика и атака «человек посередине» (MITM)
Когда вы подключены к поддельной сети, весь ваш трафик проходит через устройство мошенника. Он может использовать инструменты вроде Wireshark для пассивного перехвата незашифрованных данных. Но чаще применяются активные MITM-атаки, где атакующий становится невидимым посредником между вами и интернетом.
Для этого используются техники подмены сертификатов SSL/TLS. Ваш браузер запрашивает сайт банка, а мошенник, контролируя соединение, подставляет свой сертификат. Если пользователь не проверяет сертификат вручную (а большинство не проверяет), браузер может принять его, особенно если мошенник использует самоподписанные сертификаты и пользователь игнорирует предупреждения.
Вот как это выглядит на практике:
# Пример настройки инструмента для MITM-атаки (например, mitmproxy)
# В реальности атакующий запускает подобный софт на своём устройстве
mitmproxy --mode transparent --showhost
Это позволяет ему видеть и даже изменять содержимое HTTPS-сессий, если пользователь не обращает внимания на ошибки сертификатов в браузере.
Схемы кражи денег, которые обходят 2FA
Двухфакторная аутентификация (2FA), это дополнительный уровень безопасности, который требует не только пароля, но и второго фактора, например, кода из SMS или приложения. Однако в условиях MITM-атаки даже 2FA может быть скомпрометирована.
Одна из схем, это сессионный захват. После того как вы прошли аутентификацию (включая 2FA), браузер и сервер устанавливают сессию, часто с помощью cookies. Если мошенник перехватывает эти cookies (особенно в HTTP-трафике или при уязвимостях в реализации), он может подставить их в свой браузер и получить доступ к вашему аккаунту без необходимости вводить пароль или код.
Другая схема, это подмена push-уведомлений. Некоторые банки используют для подтверждения операций push-сообщения в своём приложении. В условиях MITM-атаки мошенник может заблокировать настоящее уведомление и отправить своё, имитирующее интерфейс банка, чтобы вы подтвердили перевод на его счёт.
Третий вариант — атака на уровень протокола. Например, мошенник может использовать уязвимости в реализации TLS или атаки на алгоритмы шифрования, чтобы ослабить защиту соединения. Это требует более глубоких знаний и доступа к специализированному оборудованию, но в теории возможно.
Как защититься
Используйте VPN. Это создаёт зашифрованный туннель между вашим устройством и сервером VPN, даже если вы подключены к поддельной сети. Ваш трафик шифруется до того, как покинет устройство, поэтому мошенник, даже перехватив его, увидит только зашифрованные данные.
Отключите автоматическое подключение к известным сетям. В настройках Wi-Fi вашего устройства можно запретить автоматическое соединение с сохранёнными сетями. Это предотвратит случайное подключение к «Evil Twin».
Проверяйте сертификаты. Если браузер показывает предупреждение о небезопасном соединении, не игнорируйте его. Особенно если вы собираетесь вводить конфиденциальную информацию.
Не проводите финансовые операции в публичных сетях. Если это необходимо, используйте мобильный интернет (3G/4G/5G) через точку доступа с телефона.
Что делать, если вы уже подключились к подозрительной сети
Немедленно отключитесь от сети. Перейдите на мобильный интернет или другую, заведомо безопасную сеть.
Измените пароли. Начните с критически важных сервисов: почта, банки, мессенджеры. Делайте это с безопасного соединения.
Включите двухфакторную аутентификацию. Если она ещё не была настроена, сделайте это для всех важных аккаунтов.
Проверьте историю операций. Убедитесь, что в ваших банковских приложениях или на сайтах не было несанкционированных действий.