Gruppo TIM
Gruppo TIM

L’attacco Evil Twin

Un attacco Evil Twin è un attacco informatico di spoofing che funziona inducendo gli utenti a connettersi a un punto di accesso Wi-Fi falso che imita una rete legittima.

Una volta che un utente è connesso a una rete “Evil Twin”, gli hacker possono accedere a qualsiasi cosa, dal traffico di rete alle credenziali di accesso private.

 

Come funziona un attacco Evil Twin

Gli attacchi Evil Twin prendono il nome dalla loro capacità di imitare le reti Wi-Fi legittime nella misura in cui sono indistinguibili l’una dall’altra.

Questo tipo di attacco è particolarmente pericoloso perché può essere quasi impossibile da identificare.

Gli attacchi più pericolosi di Evil Twin funzionano inducendo le vittime a pensare che si stiano connettendo a una rete Wi-Fi pubblica affidabile.

Per rendere l’attacco il più credibile possibile, gli hacker in genere utilizzano i seguenti passaggi:

Passaggio 1: impostare un punto di accesso Evil Twin
Un hacker cerca una posizione conosciuta e con WiFi gratuito e prende nota del nome SSID (Service Set Identifier). Quindi, utilizza uno strumento come WiFi Pineapple per configurare un nuovo account con lo stesso SSID. I dispositivi connessi non possono distinguere tra connessioni legittime e versioni false.

Passaggio 2: impostare un captive portal falso
Prima di poter accedere alla maggior parte degli account Wi-Fi pubblici, è necessario inserire i dati in una pagina di accesso generica. Un hacker creerà una copia esatta di questa pagina, sperando di indurre la vittima a fornire i dettagli di autenticazione. Una volta ottenuti, l’hacker può accedere alla rete e controllarla.

Passaggio 3: incoraggia le vittime a connettersi a Evil Twin WiFi
L’hacker si avvicina alle vittime ed emette un segnale di connessione più forte rispetto alla versione originale. Chiunque voglia connettersi, vedrà solo Evil Twin, toccherà e accederà. L’hacker può portare un attacco DDoS (Distributed Denial of Service) a chiunque sia connesso al momento, mandando temporaneamente offline il server valido attraverso una richiesta di accessi di massa.

Passaggio 4: l’hacker ruba i dati
Chiunque acceda si connette tramite l’hacker. Questo è un classico attacco man-in-the-middle, che consente all’attaccante di monitorare tutto ciò che accade online. Se l’utente accede a qualcosa di sensibile (come un conto bancario), l’hacker può vedere tutti i dettagli di accesso e salvarli per un uso successivo.

 

Esempio di attacco Evil Twin

Diciamo che un utente decide di connettersi a una rete Wi-Fi pubblica presso un bar locale. L’utente bersaglio si è già collegato in quel punto di accesso, quindi presumerà che sia sicuro e affidabile.

Questa volta, tuttavia, un hacker ha creato una rete Evil Twin con un nome SSID identico e un segnale più forte del punto di accesso legittimo. L’utente si connette nonostante sia elencato come “Non protetto”.

Mentre è connesso alla rete, l’utente accede al proprio conto bancario per controllare il proprio saldo e successivamente accede al portale della propria azienda per aggiornarsi sul lavoro.

Poiché l’utente non ha impostato una rete privata virtuale (VPN) per criptare i propri dati, la rete Evil Twin consente all’hacker di accedere alle sue informazioni bancarie e al sito web aziendale.

 

Rischi per la sicurezza informatica

Gli attacchi Evil Twin rappresentano un rischio per la sicurezza informatica significativo sia per gli utenti finali che per le aziende.

Gli hacker utilizzano spesso gli attacchi Evil Twin per accedere ai dati personali degli utenti come credenziali di accesso, transazioni bancarie e informazioni sulla carta di credito.

Ciò è particolarmente pericoloso per gli utenti che utilizzano lo stesso nome utente e password per più account, poiché l’hacker potrebbe accedere a tutti monitorando un solo tentativo di accesso.

Inoltre, se un utente accede al portale della propria azienda mentre è connesso a una rete Evil Twin, l’hacker può accedere al sito web aziendale utilizzando le credenziali del dipendente.

Ciò rappresenta un rischio significativo poiché gli hacker possono quindi accedere ai dati aziendali o inserire malware nel sistema.

Per impedire agli hacker di creare reti che imitano le proprie, le aziende possono identificare reti duplicate utilizzando sistemi di prevenzione delle intrusioni wireless.

Le aziende che offrono Wi-Fi pubblico possono anche fornire a clienti e dipendenti una chiave di sicurezza personale per garantire che gli utenti si connettano alla rete legittima.

 

Come proteggersi da un attacco Evil Twin

Gli attacchi di Evil Twin possono essere difficili da identificare, ma ci sono vari passaggi che si possono intraprendere per proteggersi quando connessi a reti Wi-Fi pubbliche.

  • Usare il proprio hotspot: il modo più semplice per proteggersi da un attacco Evil Twin è utilizzare un hotspot personale invece del Wi-Fi pubblico, quando possibile. Ciò garantisce una connessione a una rete affidabile e impedisce agli hacker di accedere ai propri dati. È però essenziale ricordarsi di impostare una password per mantenere privato il proprio access point.
  • Evitare gli hotspot Wi-Fi non protetti: se si intende connettersi a una rete pubblica, occorre evitare qualsiasi punto di accesso contrassegnato come “Non protetto”. Le reti non protette mancano di funzionalità di sicurezza legittime e le reti Evil Twin hanno quasi sempre questa designazione. Gli hacker spesso si affidano al fatto che le persone lo trascurino, connettendosi alla rete malevola senza conoscere i rischi.
  • Disattivare connessione automatica: se è stata abilitata la connessione automatica sul proprio dispositivo, questo si collegherà automaticamente a tutte le reti utilizzate precedentemente una volta entrati nel raggio d’azione. Questo può essere pericoloso nei luoghi pubblici, soprattutto se in passato ci si è connessi inconsapevolmente a una rete Evil Twin. Per assicurarsi di connettersi sempre alla rete desiderata, occorre disabilitare la connessione automatica ogni volta che si esce di casa o dall’ufficio.
  • Non accedere mai ad account privati ​​su Wi-Fi pubblico: bisogna evitare di accedere ad account privati ​​quando possibile quando si usa il Wi-Fi pubblico. Gli hacker possono accedere alle informazioni di accesso solo se le si utilizza mentre si è connessi alla loro rete Evil Twin, quindi rimanere disconnessi può aiutare a proteggere le proprie informazioni private.
  • Usare una VPN per proteggere il traffico: una VPN può aiutare a proteggersi da un attacco Evil Twin crittografando i dati prima che un hacker li veda. Quando si scarica un’app VPN affidabile sul proprio dispositivo, cripta o confonde la propria attività online prima di inviarle alla rete, rendendone impossibile la lettura e la comprensione.
  • Attenersi ai siti Web HTTPS: quando si utilizza una rete pubblica, assicurarsi di visitare solo i siti Web HTTPS. Questi siti offrono una crittografia end-to-end, impedendo agli hacker di monitorare la propria attività mentre li si utilizza.
  • Usare l’autenticazione a due fattori: aggiungere l’autenticazione a due fattori ai propri account privati ​​è un ottimo modo per impedire agli hacker di accedervi. Anche se un hacker dovesse ottenere le credenziali di accesso, l’autenticazione a due fattori gli impedirebbe di accedere correttamente all’account bersaglio.
  • Cosa fare se si è vittime di un attacco: se si scopre che un hacker ha violato i propri dati a causa di un attacco Evil Twin, è necessario contattare il dipartimento di polizia locale e la propria banca o società di carte di credito, se l’hacker ha rubato denaro o ha ottenuto l’accesso alle informazioni bancarie durante l’attacco.

Gli attacchi Evil Twin sono solo uno dei metodi utilizzati dagli hacker per accedere a informazioni riservate online.

Per proteggersi ulteriormente dagli attacchi informatici, è auspicabile prendere in considerazione il download di un software antivirus affidabile e informarsi sui tipi più comuni di hacker a cui prestare attenzione.