Ось питання, яке не дасть вам заснути вночі: що, якби зараз хтось сидів біля вашої улюбленої кав’ярні та крав паролі та номери кредитних карток у всіх, хто всередині? У вас буде атака зловісного подвійного агента, коли зловмисники обманом змусять вас підключитися до їхньої фальшивої точки доступу Wi-Fi . Але як хтось міг дізнатися, що це відбувається?
На жаль, атаку Evil Twin так легко здійснити (і приховати), що нападники часто використовують її як зброю. Перш ніж ми перейдемо до пояснення «як», давайте визначимо, що таке атака Evil Twin.
Що таке атака Evil Twin?
Коротко кажучи, атака «Evil Twin» – це тип атаки man-in-the-middle attack («людина посередині»). У цьому випадку зловмисники встановлюють фальшиву точку доступу (AP) Wi-Fi, яка виглядає так само, усі інші.
Якщо ви підключитеся до цієї мережі, вважаючи, що вона справжня, зловмисник може заразити ваш пристрій кейлогером або шкідливим програмним забезпеченням для крадіжки облікових даних, щоб захопити будь-які введені вами дані.
По суті, зловмисник знаходиться «посередині» між вами та інтернетом, щоб перехопити ваше спілкування.
Щоб заманити вас, нападник:
- Зробить так, щоб сигнал фальшивої точки доступу був сильнішим за сигнал справжньої, щоб обманом змусити вас підключитися до неї першим.
- Покаже вам підроблений портал або сторінку «входу», яка імітує сторінку справжнього порталу
- Буде просити ввести особисті дані під час спроби підключення
Після введення вашої інформації зловмисники можуть зібрати все: від паролів до платіжних даних.
Чи поширені напади Evil Twin?
Так, напади Evil Twin є тривожно поширеними.
Настільки поширений, що російська розвідка використовує його як обрану зброю для:
- Проводити кампанії з втручання проти олімпійських антидопінгових агентств після того, як російських спортсменів звинуватили у шахрайстві на змаганнях
- Встановлювати шпигунсько-орієнтоване шкідливе програмне забезпечення на пристрої жертв у готелях
Пов’язані з ГРУ оперативники навіть намагалися використовувати злісні точки доступу для шпигунства за мережею Wi-Fi Організації із заборони хімічної зброї (ОЗХЗ).
Місію було зірвано, коли голландські агенти здійснили арешти. Під час розслідування голландцям вдалося вилучити рюкзак, у якому знаходилися точка Wi-Fi (пристрій розміром з книгу для підміни мереж Wi-Fi), 20 000 доларів готівкою плюс 20 000 євро, квитки на поїзд до Берна та роздруківки наступної цілі групи – хімічного випробувального центру Шпіц у Швейцарії. Усіх оперативників ГРУ депортували назад до Москви.
Це було у 2017 році.
Перенесемося у 2020 рік, коли хакери-«білі капелюхи» вирішили використати ту саму тактику для дослідження безпеки Wi-Fi у Міністерстві внутрішніх справ США. Для створення свого обладнання для атак вони використовували недороге обладнання та програмне забезпечення з відкритим кодом, таке як одноплатні комп’ютери Raspberry Pi та Kali Linux .
Кожен портативний тестовий набір коштував менше 200 доларів, ним можна було керувати за допомогою смартфона, і він поміщався в рюкзаки та сумочки.
Коли все було готово, команда розташувалася на лавках у парку біля офісів Департаменту внутрішніх справ. І те, що вони виявили, було шокуючим.
Як працює атака Evil Twin?
Етичні хакери використовували ті самі інструменти, методи та практики, які віддають перевагу агенти російської розвідки.
Ціль — Міністерство внутрішніх справ США складається з 11 бюро. До них належать Бюро у справах індіанців, Геологічна служба США, Служба національних парків та Служба охорони рибних ресурсів і дикої природи США. Білі хакери провели тестування на проникнення біля 91 з 2200 офісів Міністерства внутрішніх справ.
- Здійснено подвійну атаку для отримання облікових даних користувачів з двох мереж бюро та доступу до їхніх бездротових послуг.
- Виявлено п’ять наборів зашифрованих облікових даних та розшифровано два з них
- Використовуючи розшифровані облікові дані, провели розвідувальне сканування внутрішніх мереж Міністерства внутрішніх справ.
- Використано облікові дані, що належать ІТ-фахівцю бюро, для входу в систему обробки заявок служби підтримки бюро та перегляду списку призначених заявок.
- Перегляд конфіденційної інформації, такої як архітектура мережі та вразливості системи
- Ключові висновки: відсутність безпеки у внутрішніх бездротових мережах.
Ось що виявили пентестери:
Офіси використовували попередньо надані ключі (спільні паролі) для автентифікації в бездротових мережах. Якщо попередньо наданий ключ буде виявлено, зловмисник може легко підслухати ВСІХ клієнтів у бездротовій мережі. NIST SP 800-97 спеціально рекомендує використовувати цифрові сертифікати, а не попередньо надані ключі для автентифікації.
Якби Департамент дотримувався рекомендацій NIST SP 800-97, кілька ключових бюро не були б вразливими до атак «злих двійників».
Міністерство внутрішніх справ не впровадило заходів глибокого захисту, таких як сегментація мережі. Це означає, що зловмисники, які отримали несанкціонований доступ до однієї мережі, могли без обмежень перейти до інших .
У 2016 році Міністерство внутрішніх справ фактично скасувало пристрої сегментації та моніторингу, такі як брандмауери та системи виявлення вторгнень, щоб пришвидшити надання послуг. Іншими словами, вони пожертвували безпекою заради зручності.
Департамент не проводив регулярних перевірок безпеки своїх бездротових мереж і не моніторив їхні мережі на наявність шкідливої активності, як рекомендовано NIST SP 800-153.
Бюро та установи також не вели повних інвентаризацій бездротових мереж. Пентестери виявили 26 авторизованих бездротових мереж.
Експлуатація: тактика та методи
Порушення правил безпеки та відповідності призвели до успішного порушення, і ось як команда це зробила:
- Крок №1: Пентестери почали з ідентифікації клієнтських пристроїв, які вже підключені до схваленої бездротової мережі. Для кампанії вони назвали мережу DOI WLAN.
- Крок №2: Далі вони налаштували злісну точку доступу з точно такою ж назвою (DOI WLAN), надали їй сильніший сигнал і почали рекламувати її доступність усім клієнтам у межах досяжності.
- Крок №3: Потім пентестери «прискорили» атаку, сигналізуючи клієнтам про необхідність відключитися від схваленої бездротової мережі та підключитися до злої мережі-близнюка.
- Крок №4: Після відключення клієнти не могли розрізнити легітимні точки доступу від підроблених і автоматично підключалися до тієї, що мала сильніший сигнал.
- Крок №5: Після того, як клієнти підключилися до злого близнюка, пентестери змогли зібрати п’ять наборів зашифрованих облікових даних та легко розшифрувати 40% з них через слабкі паролі.
Винесені уроки та рекомендації
Співробітники внутрішніх справ з’ясували, що неефективні методи управління кіберризиками значною мірою сприяли витоку інформації.
Результати тесту були настільки вражаючими, що:
- Одне бюро відключило всю бездротову інфраструктуру підприємства на три тижні для впровадження захисних заходів.
- Інший офіс запровадив політику безпеки, яка вимагає від співробітників запускати VPN перед доступом до ресурсів відділу.
Серед ключових рекомендацій команда з тестування на проникнення порадила Міністерству внутрішніх справ:
- Заборонити попередньо надані ключі та вимагати взаємної автентифікації сертифікатів (клієнт і сервер) для всіх комунікацій ESN (мережа корпоративних послуг)
- Впроваджуйте сегментацію мережі, щоб запобігти доступу клієнтів бездротової мережі до непотрібних ресурсів в інших бюро.
- Ставитися до сповіщень про зловісних близнюків як до загрози високого рівня
- Впровадити бездротову систему запобігання вторгненням , щоб запобігти атакам «Evil Twin»
- Включіть бездротову інфраструктуру до заходів з виявлення та стримування загроз
- Замінити застарілі рекомендації щодо бездротових систем 802.11x оновленими STIG (Посібниками з технічного впровадження безпеки), які визначають чіткі мінімальні засоби контролю для бездротових мереж
Чи все ще становлять загрозу напади Evil Twin?
На цьому етапі ви, можливо, думаєте, що ці «старомодні» злісні атаки Evil Twin вже в минулому. Однак загроза зараз актуальніша, ніж будь-коли.
У квітні 2024 року австралійця було заарештовано за створення злісних мереж-близнюків в аеропортах Перта, Мельбурна та Аделаїди. Його мета? Викрасти електронну пошту та облікові дані соціальних мереж у нічого не підозрюючих мандрівників.
Це та сама зла атака Evil Twin, жертвою якої став Департамент внутрішніх справ, просто в іншому місці.
А у 2025 році масштаби проблеми вражають. Зараз у світі налічується 17,7 мільярда активних пристроїв Інтернету речей, а до 2034 року ця цифра зросте до 40,6 мільярда. Це означає, що площа атаки зловмисних подвійних атак різко розшириться.
Зрозуміло, що сучасні захисники повинні змінюватися, оскільки нападники використовують дедалі складніші стратегії.
Це підводить нас до важливого питання: zк виявити атаку Evil Twin?
Існує п’ять ключових способів виявлення нападу Evil Twin.
- Шукайте підозрілі характеристики точки доступу (AP) : Бездротова система виявлення вторгнень (WIDS) може виявляти шахрайські точки доступу з однаковим SSID (ідентифікатором набору послуг або назвою Wi-Fi), але дещо різними MAC-адресами (BSSID).
- Техніка глушіння + підсилення сигналу: цей тип атаки особливо небезпечний, оскільки ви не можете легко визначити, чи підключаєтесь ви до справжньої точки доступу.
- Зловмисник може використовувати глушник із змінною частотою, щоб створювати радіоперешкоди та глушити справжню точку доступу (AP). Це змушує ваш пристрій відключитися. Потім, за допомогою підсилювачів сигналу, вони створюють сильніший сигнал Wi-Fi, ніж справжня точка доступу, щоб обманом змусити вас підключитися до фальшивої точки доступу.
- Зверніть увагу на помилки перевірки сертифікатів: якщо ваша компанія використовує автентифікацію EAP-TLS, і клієнт, і сервер повинні надати дійсні сертифікати. Невідповідність може свідчити про зловмисного двійника, який маскується під справжній сервер автентифікації, до якого клієнт відмовиться підключатися.
- Незвичайний мережевий трафік або поведінка: Коли зловмисники налаштовують злого двійника, вони часто намагаються змусити підключені пристрої перейти на слабше шифрування. Це полегшує їм перехоплення трафіку.
З журналів датчиків кінцевих точок SIEM-системи можуть ідентифікувати відомі сигнатури атак, пов’язані з цими вимушеними спробами. SIEM-системи також можуть піднімати сповіщення, коли нові точки доступу з’являються одночасно зі сплеском невдалих входів.
Ознаки на рівні користувача: якщо ви бачите часті розриви з’єднання, труднощі з доступом до знайомих сайтів і неочікувані запити інформації через портал доступу, будьте обережні. Ваш пристрій може намагатися підключитися до фальшивої точки доступу.
Як мені уникнути або запобігти атакам Evil Twin?
Щоб уникнути або запобігти атакам Evil Twin, вам потрібен багаторівневий захист. Якщо ви коли-небудь хотіли шпаргалку, яка є одночасно практичною та потужною, перегляньте таблицю нижче.
| Категорія захисту | Захист прав споживачів (прості, практичні поради) | Захист бізнесу (рамкова структура та рекомендації NIST) |
| Використовуйте FIDO2 MFA та моніторинг SaaS | За допомогою LastPass FIDO2 MFA та моніторингу SaaS ви можете відстежувати незвичайні входи та отримати другий рівень захисту від захоплення облікового запису.
Розблокуйте їх безкоштовно з пробною версією LastPass Premium або Business Max (кредитна картка не потрібна) |
NIST наголошує на використанні FIDO2 MFA для автентифікації, стійкої до фішингу, та відповідності вимогам на корпоративних платформах. |
| Особисті точки доступу або приватна мережа | Уникайте громадських Wi-Fi та використовуйте особисті мобільні точки доступу для безпечнішого з’єднання | Сегментація бездротових мереж для зменшення ризику ( NIST SP 800-215 ) |
| Налаштування автоматичного підключення | Вимкніть автоматичне підключення до мереж Wi-Fi, щоб уникнути злих близнюків | Застосовуйте суворе керування конфігурацією, щоб запобігти автоматичному підключенню до мереж Wi-Fi |
| Перевірка точки доступу | Перевірте ще раз назви Wi-Fi на наявність друкарських помилок або орфографічних помилок і переконайтеся, що пристрої підключені лише до справжньої MAC-адреси вашого маршрутизатора. | Використовуйте автентифікацію на основі сертифікатів EAP-TLS для безпечних бездротових з’єднань ( NIST SP 800-97 )
Автентифікація сертифіката гарантує, що клієнти перевіряють справжність точок доступу перед підключенням |
| VPN | Використовуйте VPN для шифрування вашого з’єднання в громадських місцях | Поєднуйте VPN з іншими засобами захисту для досягнення повного захисту даних ( NIST SP 800-215 ) |
| HTTPS та безпечний DNS | Отримайте DNS через HTTPS (DoH) за допомогою безпечних постачальників DNS, таких як Google Public DNS або Cloudflare DNS.
Це означає, що якщо ви випадково підключитеся до фальшивої точки доступу Wi-Fi, DoH не дозволить зловмисникам перенаправити вас на фішингові сайти . |
Забезпечення безпеки корпоративного DNS за допомогою DoH для захисту DNS-запитів від перехоплення та маніпуляцій ( NIST SP 800-81r3 )
Примітка: DoH має бути належним чином налаштований та контрольований для забезпечення балансу між конфіденційністю та безпекою. |
| Протоколи бездротової безпеки | Використовуйте WPA3 для домашнього Wi-Fi роутера
Оновлюйте прошивку свого маршрутизатора Використовуйте генератор LastPass для створення надійних облікових даних адміністратора маршрутизатора |
Перехід на WPA3-Enterprise, який забезпечує захищені кадри керування (PMF).
Якщо хтось намагається надіслати фальшиві команди відключення на ваш пристрій, PMF блокує їх. Таким чином, ваш пристрій не буде обманом змусити приєднатися до фальшивої мережі. |
| Виявлення та моніторинг вторгнень | Н/Д (зазвичай поза контролем споживача) | Розгортання WIDS/WIPS та інтеграція з SIEM для виявлення загроз ( SP 800-215 ) |
| Навчання та обізнаність користувачів | Уникайте входу в конфіденційні облікові записи через громадські мережі Wi-Fi
Використовуйте браузер, орієнтований на конфіденційність, такий як Brave або Zen Browser Не ігноруйте попередження безпеки браузера про недійсні сертифікати |
Безперервне навчання користувачів з питань безпеки WLAN ( NIST SP 800-97 ) |
Не дозволяйте Evil Twin красти ваші паролі: що менеджери паролів роблять для вас
Чи знаєте ви, що менеджери паролів, такі, як Bitwarden, NordPass чи LastPass можуть захистити вас, навіть якщо ви помилково підключитеся до фальшивої точки доступу? Ось як:
- Автозаповнення вводить вашу інформацію лише на легітимних сайтах. Тож, навіть якщо в URL-адресі відсутній один символ, менеджери не автоматично заповнюватимуть ваші паролі. Це значно знижує ризик крадіжки облікових даних та захоплення облікового запису.
- Генератор паролів дозволяють швидко та легко створювати надійні паролі. Це означає, що більше не потрібно витрачати час на спроби придумати паролі, які відповідають вимогам складності.
- Усі ваші дані захищені шифруванням, як мінімумЮ AES-256, тим самим типом шифрування, який використовують військові, АНБ та федеральні агентства.
- Незалежно від того, чи ви споживач, чи бізнес, потужні опції FIDO2 MFA можуть зупинити несанкціонований доступ, навіть якщо зловмисникам вдасться захопити деякі ваші дані.
| Аспект | LastPass | NordPass | Bitwarden |
| Зберігання паролів | Необмежено (всі плани) | Необмежено (всі плани) | Необмежено (всі плани) |
| Автозаповнення | Так, з підтримкою форм | Так, швидке і точне | Так, але іноді вимагає налаштування |
| Шаринг | До 5 осіб, загальні папки | Гнучкий (з таймерами закінчення) | Через організації/колекції |
| Генератор паролів | Так, сильні та унікальні | Так, + генератор імен користувачів | Так, + TOTP-коди |
| Моніторинг | Даркнет, дашборд безпеки | Сканер вразливостей, маскування електронної пошти | Даркнет (преміум), звіти про слабкі місця |
| Інше | SSO/MFA для бізнесу, імпорт з 20+ джерел | Passkeys, історія паролів, кастомні поля | Self-hosting, API/SDK, Send (шифрований обмін файлами) |
| Бізнес-функції | Політики (100+), SSO, звіти | Політики, журнал дій, інтеграції | Адмін-консоль, SIEM-інтеграції |
Що вибрати?
LastPass і NordPass — хороші менеджери із захистом на рівні 2FA.
LastPass: Багаті бізнес-функції, SSO/MFA, моніторинг даркнету.
NordPass: Сучасна безпека, зручний UI, підтримка 24/7, інтеграція з NordVPN.
Bitwarden: Дешево/безкоштовно, open-source, self-hosting, без прогалин і дозволяє зробити так, що майстер-пароль взагалі не використовується в повсякденній роботі, а сховище відкривається виключно апаратним ключем. Однак менш інтуїтивний UI, немає 24/7 чату, базові преміум-функції.
| Можливість | LastPass | NordPass | Bitwarden | Як це блокує Twin Evil |
| Підтримка апаратних ключів як єдиного master-password (passkey-only vault) | Ні (тільки 2FA) | Ні (тільки 2FA) | Так (повноцінно з 2024–2025) | Зловмисник не може відкрити сховище навіть із вкраденим cookie та майстер-паролем — потрібен фізичний ключ (YubiKey, Titan тощо). |
| U2F/WebAuthn як обов’язковий другий фактор (не OTP/SMS) | Так | Так | Так (і можна зробити обов’язковим) | Cookie-stealing атаки зазвичай обходять TOTP/SMS, але не обходять апаратні ключі. |
| Vault timeout → вимагати апаратний ключ при кожному відкритті | Ні | Ні | Так (можна встановити 0 хвилин + «Require hardware key on unlock») | Навіть якщо сесія браузера активна, після таймауту сховище запитує ключ заново. |
| Власний хостинг | — | — | Так | Можна повністю винести сховище за межі хмари → cookie крадуть, але даних там немає. |
Дізнатися більше, отримати консультацію спеціаліста та придбати підписку менеджери паролів ви можете у офіційного партнера в Україні — компанії «Ідеалсофт» (Idealsoft).
