นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดตัวเครื่องมือใหม่ชื่อว่า 'Snappy' ที่สามารถช่วยตรวจจับจุดเชื่อมต่อ WiFi ปลอม หรือหลอกลวงที่พยายามขโมยข้อมูลที่ถูกติดตั้งจากผู้ไม่หวังดี
โดยผู้โจมตีสามารถสร้างจุดเชื่อมต่อปลอมในซูเปอร์มาร์เก็ต, ร้านกาแฟ และห้างสรรพสินค้า เพื่อหลอกว่าเป็น access points จริงที่ติดตั้งไว้แล้วในสถานที่นั้น ซึ่งเป็นการทำขึ้นเพื่อหลอกให้ผู้ใช้เชื่อมต่อกับจุดเชื่อมต่อที่เป็นอันตราย และส่งต่อข้อมูลที่มีความสำคัญผ่านอุปกรณ์ของผู้โจมตี
ในขณะที่ผู้โจมตีควบคุมเราเตอร์ไว้ ทำให้สามารถดักจับภาพหน้าจอ ทำการวิเคราะห์ข้อมูล และส่งข้อมูลออกไปได้ ผ่านการโจมตีแบบ MiTM (Man-in-the-middle attacks.)
Tom Neaves นักวิจัยด้านความปลอดภัยของ Trustwave และผู้ชื่นชอบเทคโนโลยีไร้สาย (wireless/RF) อธิบายว่าการปลอมแปลงที่อยู่ MAC และ SSID ของจุดเชื่อมต่อที่ถูกต้องบนเครือข่าย open networks นั้นเป็นเรื่องง่ายสำหรับผู้โจมตี
โดยอุปกรณ์ของผู้ใช้งานที่เข้าถึงเครือข่าย open wireless ที่พวกเขาเชื่อมต่อไว้ก่อนหน้านี้ จะพยายามเชื่อมต่อไปยังจุดเชื่อมต่อที่บันทึกไว้โดยอัตโนมัติ ในขณะที่ผู้ใช้งานไม่รู้ตัวเลยว่ากำลังเชื่อมต่อกับอุปกรณ์ที่เป็นอันตราย
Snappy Tools
Neaves พัฒนาเครื่องมือนี้เพื่อแก้ไขปัญหาจากความเสี่ยงดังกล่าว เพื่อช่วยให้ผู้ใช้งานสามารถตรวจสอบว่า access point ที่กำลังใช้งานเป็นจุดเชื่อมต่อที่ใช้ครั้งล่าสุด และทุก ๆ ครั้ง หรืออาจเป็นอุปกรณ์ปลอม หรือหลอกลวง
โดยเครื่องมือจะทำการวิเคราะห์ Beacon Management Frames ซึ่งจะมีองค์ประกอบ (elements) บางอย่าง เช่น vendor, BSSID, supported rates, channel, country, max transmit power และอื่น ๆ ซึ่งจะแตกต่างกันในแต่ละ access point
นักวิจัยเชื่อว่าสามารถเชื่อมต่อองค์ประกอบ (elements) เหล่านี้ และแฮชด้วย SHA256 เพื่อสร้าง signature ที่ไม่ซ้ำกัน สําหรับจุดเชื่อมต่อ (access point) ในแต่ละจุด และโดยการใช้ scanner tool เพื่อสร้างการจับคู่กัน (matches) และไม่จับคู่กัน หรือไม่ตรงกัน (mismatches)
การจับคู่ (matches) หมายความว่าจุดเชื่อมต่อ (access point) นั้นเหมือนกัน และเชื่อถือได้ ในขณะที่การไม่จับคู่กัน หรือไม่ตรงกัน (mismatches) ของ signature หมายความว่าบางสิ่งบางอย่างมีการเปลี่ยนแปลง และจุดเชื่อมต่อ (access point) อาจเป็นจุดเชื่อมต่อปลอม
ฟังก์ชันนี้ถูกรวมไว้ในสคริปต์ Python ที่ชื่อว่า Snappy ซึ่งเผยแพร่บน GitHub ของ Trustwave และเปิดให้ใช้งานฟรี
นอกจากกลไกในการสร้างแฮช SHA256 ของ wireless access points แล้ว Snappy ยังสามารถตรวจจับจุดเชื่อมต่อ (access point) ที่สร้างโดย Airbase-ng ซึ่งเป็นเครื่องมือที่ผู้โจมตีมักใช้เพื่อสร้างจุดเชื่อมต่อปลอมเพื่อจับแพ็กเก็ตจากผู้ใช้งานที่ทำการเชื่อมต่อ หรือแม้แต่ inject ข้อมูลเข้าไป network traffic
การติดตั้ง Python และการเรียกใช้สคริปต์ Python บนแล็ปท็อปอาจดูเป็นเรื่องง่าย แต่ผู้ใช้งานบนมือถือจะใช้งานได้ยากกว่า
โดยผู้ใช้ Android สามารถเรียกใช้สคริปต์ Python บนโทรศัพท์โดยใช้ Pydroid, QPython หรือ Termux ในขณะที่ผู้ใช้ iOS จะสามารถเลือกระหว่าง Pythonista, Carnets และ Juno ได้
คาดว่า Trustwave อาจจะพิจารณาเผยแพร่เครื่องมือนี้ในรูปแบบที่พร้อมใช้งานมากขึ้นต่อไปในอนาคต
ที่มา : bleepingcomputer
You must be logged in to post a comment.