Un gemelo malvado es un punto de acceso Wi-Fi fraudulento que parece legítimo pero está configurado para espiar las comunicaciones inalámbricas. [1] El gemelo malvado es el equivalente de LAN inalámbrica de la estafa de phishing .
Este tipo de ataque puede usarse para robar las contraseñas de usuarios desprevenidos, ya sea monitoreando sus conexiones o mediante phishing, que implica crear un sitio web fraudulento y atraer personas allí. [2]
El atacante espía el tráfico de Internet utilizando un punto de acceso inalámbrico falso . Se puede invitar a usuarios web involuntarios a iniciar sesión en el servidor del atacante , solicitándoles que ingresen información confidencial como nombres de usuario y contraseñas . A menudo, los usuarios no se dan cuenta de que han sido engañados hasta mucho después de que ha ocurrido el incidente.
Cuando los usuarios inician sesión en cuentas bancarias o de correo electrónico no seguras (no HTTPS ) , el atacante intercepta la transacción, ya que se envía a través de su equipo. El atacante también puede conectarse a otras redes asociadas con las credenciales de los usuarios.
Los puntos de acceso falsos se configuran configurando una tarjeta inalámbrica para que actúe como punto de acceso (conocido como HostAP ). Son difíciles de rastrear ya que pueden apagarse instantáneamente. Es posible que al punto de acceso falsificado se le proporcione el mismo SSID y BSSID que una red Wi-Fi cercana. El gemelo malvado puede configurarse para pasar el tráfico de Internet al punto de acceso legítimo mientras monitorea la conexión de la víctima, [3] o simplemente puede decir que el sistema no está disponible temporalmente después de obtener un nombre de usuario y contraseña. [4] [5] [6] [7]
Uno de los ataques más utilizados por los gemelos malvados es un portal cautivo. Al principio, el atacante crearía un punto de acceso inalámbrico falso que tiene un Essid similar al del punto de acceso legítimo. Luego, el atacante podría ejecutar un ataque de denegación de servicio en el punto de acceso legítimo, lo que provocará que se desconecte. A partir de ese momento, los clientes se conectarían automáticamente al punto de acceso falso. Luego, los clientes serán conducidos a un portal web que les solicitará que ingresen su contraseña, que luego los atacantes pueden utilizar indebidamente.
En julio de 2024, la Policía Federal Australiana acusó a un hombre de gestionar una red WiFi falsa para robar las credenciales de los pasajeros de al menos un vuelo comercial. [8] Una aerolínea había informado que los empleados estaban preocupados por una red WiFi sospechosa identificada durante un vuelo nacional. [8]
Una empresa de seguridad utilizó un gemelo malvado como prueba para obtener contraseñas de los asistentes a una conferencia de seguridad de RSA