web-dev-qa-db-fra.com

Voisin grossier avec PineAP ou quelque chose de similaire

Depuis environ une semaine, j'ai des problèmes avec le wifi dans ma maison, et il semble que mon voisin ait installé un ananas ou quelque chose de similaire qui exécute une attaque de balise connue et/ou Karma/Dogma. Il interfère également avec les appareils se connectant à mon AP WPA2.

Symptômes:

  • Une liste tournante de 20 ou 30 SSID apparaît avec des noms communs (attwifi, Google Starbucks, wifi ...) et avec des noms très spécifiques (le SSID de la bibliothèque municipale wifi, des SSID de routeurs par défaut aléatoires comme SpectrumXXXX, Fios-XXXX).
  • La connexion à l'un des SSID invite à la connexion, qui présente un faux FB, Google ou une autre page de phishing sur les appareils Android, iOS et MacOS, mais pas sur les appareils Windows 10
  • Il semble y avoir des interférences wifi d'une certaine sorte. Mon AP WPA2 a un signal plus fort dans ma maison que l'AP voyou, mais les appareils prennent 10 à 30 minutes pour se connecter automatiquement à mon réseau. Les appareils disent connectés, pas d'Internet et après des reconnexions répétées finiront par fonctionner, ou laisser l'appareil en marche lui permettra de se connecter. C'est particulièrement ennuyeux avec la Smart TV, qui attend 20 minutes pour qu'elle commence à fonctionner.
  • Le jumeau maléfique semble assez simple, il présente le même MAC pour tous les SSID, à partir de 00:13:37, toujours canal 11, 2,4 Ghz uniquement
  • La chose est puissante. J'ai utilisé une application de trébuchement sur mon téléphone et elle a un signal sur un rayon de plus de 250 m et ne semble pas directionnelle. Si vous vous approchez trop près (à moins de 100 pieds), le wifi de mon téléphone ne répond plus et je reçois un message indiquant que le wifi est coincé. 100 pieds est au milieu de la rue, donc il est assez fort pour provoquer des erreurs sur mon téléphone lorsque je conduis près de chez moi.

L'adresse MAC indique qu'il pourrait s'agir d'un PineAP, ou peut-être d'un appareil exécutant wifiPhisher. Les noms AP qui sont repris en écho semblent pouvoir être collectés par la moissonneuse wifi, ou peut-être à partir d'un trébucheur ou d'une base de données.

Je suis principalement frustré par l'interférence avec mes points d'accès. Je ne vois rien de mal à voir dans mes points d'accès (Unifi) et mon routeur (Frontier, exécutant DHCP), pas de clients supplémentaires ou de trafic étrange, mais ils ont des capacités de collecte de données limitées. Je viens de commander un adaptateur wifi Alfa pour voir si je peux détecter aireplay ou une autre activité inhabituelle indiquant un DoS ou deauth ou une autre attaque sur mon AP.

Que dois-je rechercher pour détecter une attaque? Je suppose que l'airodump devrait me donner une indication d'une attaque si elle se produit, mais je ne sais pas vraiment quoi chercher.

Que puis-je faire pour empêcher la connexion automatique aux SSID ou le blocage du point d'accès non autorisé?

Avez-vous d'autres idées pour gérer l'appareil?

Existe-t-il un outil simple pour spammer les formulaires de phishing avec des données? Il semblerait que soumettre des connexions indésirables dans une boucle au point d'accès non autorisé remplira éventuellement le stockage et puisse interférer avec son fonctionnement, avec l'avantage supplémentaire d'enterrer toutes les informations d'identification réelles qui ont été saisies par des personnes imprudentes.

Clarification

La plupart des commentaires suggèrent l'un des deux itinéraires, allez parler au voisin ou appelez la police. Je comprends ces options, mais j'aimerais comprendre l'intention et le risque un peu plus avant de le faire.

Par analogie, si un voisin a laissé son projecteur 1000 watts allumé et qu'il brille dans la fenêtre de ma chambre, c'est vraiment ennuyeux et le voisin est inconsidéré. La bonne réponse serait d'aller parler au voisin. Si un voisin se cache dans les buissons, filme des vidéos et allume des lumières dans ma maison, alors le voisin est un criminel et contacter les forces de l'ordre est approprié.

J'essaie de dire si le voisin a acheté un nouveau jouet et vient de le laisser branché ou s'il a une intention malveillante. Si c'est le premier, demander poliment résoudra le problème. Si c'est le deuxième, demander poliment leur fera savoir qu'ils ont été détectés et pourrait conduire à des méthodes plus subtiles qui sont plus difficiles à détecter. Soumettre des ordures à leur appareil équivaudrait à allumer mes projecteurs pour qu'ils brillent dans leur maison, peut-être passif-agressif, mais aussi un coup de pouce vers la conformité sociale.

Que devrais-je rechercher pour détecter une attaque active par rapport à un périphérique pentest en cours d'exécution? Serait-ce évident dans airodump? Ou un autre outil? Y a-t-il autre chose que je devrais rechercher?

Pour répondre à certaines questions, je suis dans une ville de banlieue au Texas et je ne m'attends pas à ce que les forces de l'ordre locales comprennent à moins que je ne les mène par le nez (et seulement si j'ai de la chance). FCC, FBI ou similaire peut avoir un peu d'intérêt, mais attaquer du wifi à la maison ou transmettre à 1 watt sur autorisé est très mineur.

Je n'ai pas vu l'appareil imiter activement mon SSID, et il n'a certainement pas présenté de WPA, donc l'interférence avec mes connexions serait soit du bruit, soit quelque chose comme une attaque active de deauth (comment pourrais-je détecter cela?)

De plus, l'appareil ne fournit pas de connexion Internet fonctionnelle. Après la page de phishing, il passe à un message de type 401 et c'est tout, donc il ne peut pas renifler de trafic http qui ne se produit pas.

wifidefenserogue-ap
23
user15741

Vous êtes dans une situation délicate. Si votre voisin mène des attaques actives contre vous et a mis en place un ananas qui imite votre AP, vous avez un problème sérieux à mon avis. Vous ne pouvez pas "bloquer" votre propre SSID dont ils usurpent l'identité. La meilleure chose à faire: éteignez le wifi et utilisez le LAN local autant que possible.

Pour tout ce qui doit utiliser le Wifi: il est essentiel que vous vérifiiez vos URL pour HTTP/HTTPS. L'astuce la plus courante que je vois dans une situation comme celle-ci est la suppression SSL, qui prétend essentiellement que vous êtes sur https mais vous met sur http pour que l'ananas puisse gratter les informations en clair. Vérifiez donc votre barre d'URL chaque fois que vous êtes sur le point de vous connecter à quelque chose pour ce verrouillage https.

Bloquer les SSID avec ceci: http://mywindowshub.com/add-remove-wireless-network-allowed-blocked-filter-list-windows-10/ Il y a des articles pour chaque OS, vous pouvez trouver les avec une recherche google.

Le simple partage de votre trafic peut vous en dire beaucoup sur ce qui se passe en ce qui concerne les attaques, mais il est difficile de rechercher à travers cela et de pouvoir reconnaître les injections, etc.

Vous n'aurez probablement pas de chance avec les forces de l'ordre locales. Je suggère de signaler à S.S. https://www.justice.gov/criminal-ccips/reporting-computer-internet-related-or-intellectual-property-crime

En outre, il serait sage de parler à tous vos voisins (car il est très probable que vous soyez tous attaqués) et de passer en groupe et d'exiger l'arrêt de l'usurpation d'identité Wifi. Franchement, j'appellerais d'abord S.S. et lui demanderais ce qu'ils recommandent. Vous pouvez également envoyer un e-mail à US-Cert pour obtenir des conseils: https://www.us-cert.gov/forms/report

6
bashCypher

Utilisez LAN pour l'instant. Vous devez simplement cesser d'utiliser des appareils qui nécessitent WiFi.

Essayez de savoir qui est le voisin dérangeant et contactez-le. S'il ne supprime pas le PineAP, appelez les forces de l'ordre.

Ne vous impliquez pas dans les petits jeux de hacker.

  1. Vous n'obtiendrez aucune aide ou conseil ici
  2. vous obtiendrez très probablement la fin courte de l'accord et
  3. vous vous impliquerez très probablement dans des activités illégales.

Essayez de traiter cela de la même manière, comme vous le feriez avec un voisin qui écoute de la musique assourdissante au milieu de la nuit. Ne vous rendez pas chez eux, manipulant leur chaîne stéréo.
Dites-leur de l'éteindre ou appelez quelqu'un qui a le pouvoir de les forcer.

Concernant votre montage:

"J'essaie de dire si ..", "Que dois-je rechercher pour détecter .." "Comment pourrais-je détecter cela?"

Ce n'est pas ton boulot. C'est le travail d'un détecter ive (ou d'une autre personne chargée de l'application des lois).
Ce n'est pas parce que vous sentez que vous avez des connaissances dans ce domaine - les questions que vous avez posées jusqu'à présent ne soutiennent pas ce sentiment - que vous devez (essayer) de vous rendre complet M. Robot. Laissez cela aux professionnels.

3
Tom K.