Злоумышленники могут создавать собственные точки доступа Wi-Fi, причем без использования громоздкого оборудования – достаточно смартфона, планшета или ноутбука с модулем Wi-Fi, переведенным в режим точки доступа. Пользователи подключаются к сети злоумышленника и становятся жертвами любых его атак, доступных хакеру как администратору сети: перехвата трафика (в том числе защищенного), фишинга и пр. В некоторых случаях, используя для своих сетей имена (SSID) распространенных сетей[606], таких как MT_FREE или DLINK, злоумышленник может вынудить устройство потенциальной жертвы автоматически подключиться к его сети (если к сети с таким именем устройство подключалось ранее и в настройках устройства включен режим автоматического подключения к известным сетям).
Используя специальные устройства типа Wi-Fi Pineapple, злоумышленник может представить свою точку доступа под любым SSID. Атака эффективна, так как каждое устройство с модулем Wi-Fi в режиме ожидания постоянно рассылает так называемые маячки, пытаясь обнаружить одну из беспроводных сетей, которые оно ранее запомнило. Оборудование злоумышленника перехватывает эти маячки и представляется устройствам точкой доступа с тем SSID, который они ищут[607].
Часто сетевое оборудование недостаточно защищено не только у частных пользователей, но и в корпоративной среде. Многие пользователи и даже системные администраторы не изменяют дефолтные настройки доступа к панели управления и используют простые пароли Wi-Fi, а также уязвимые технологии типа WEP и WPS, фактически помогая взломщикам. Злоумышленник с помощью специального программного обеспечения может попытаться отключить клиентов (подключенные устройства) от взламываемой сети, чтобы при повторном их подключении перехватить так называемый хендшейк (или рукопожатие – информацию, содержащую данные, необходимые для расшифровки пароля) и методом перебора (брутфорса) подобрать правильный пароль[608]. Такая атака будет успешна в случае использования слабого пароля для доступа к Wi-Fi-сети. Во многих случаях данные для подключения к взломанным сетям утекают на специальные сайты, в том числе позволяющие увидеть на карте активные точки доступа и пароли к ним (например, https://www.wifimap.io).
В ряде других случаев для защиты беспроводных сетей может использоваться протокол WEP, в большинстве случаев относительно легко взламываемый злоумышленниками (путем перебора паролей после перехвата и анализа трафика с целью извлечения нужной для взлома информации, в том числе векторов инициализации – случайных чисел, используемых для инициализации алгоритма шифрования)[609]. Этот протокол давно считается устаревшим и уязвимым, тем не менее есть пользователи, его применяющие – по незнанию либо из-за ограничений оборудования (например, в сетях 802.11b). Для обеспечения достаточного уровня защиты следует использовать более стойкий протокол: WPA2 или WPA3.
Популярный способ быстрого доступа с помощью технологии WPS – когда для подключения к сети необходимо знать лишь ПИН-код устройства (в ряде случаев указанный на наклейке на его корпусе), состоящий из 8 цифр (причем из-за ошибки в стандарте злоумышленнику нужно угадать лишь 4 из них), также ослабляет защиту сети: хакеру достаточно 11 000 попыток перебора. Даже если после каждой попытки будет срабатывать защита от перебора и происходить 60-секундная задержка, весь процесс взлома займет не более недели. Сложность пароля для доступа к сети и частота его смены при этом не имеют никакого значения[610]. Кроме того, некоторые производители сетевых устройств генерируют ПИН-коды WPS на основе других известных значений, например, MAC-адреса устройства; в этом случае устройство взламывается практически мгновенно. Причем функция WPS может быть включена по умолчанию (и не отключена пользователем по незнанию) или ее отключение может быть заблокировано[611].
Скрытые сети также не обеспечивают должного уровня защиты (если нет надежного способа шифрования), так как злоумышленнику достаточно перехватить MAC-адрес (BSSID) такой сети, а затем дождаться, когда к ней будет подключаться один из клиентов с допустимым MAC-адресом (либо отключить уже подключенного, чтобы произошло повторное подключение). И тогда в процессе подключения клиент передает хендшейк с именем сети (SSID) и паролем, который также может быть перехвачен с помощью специального программного обеспечения.
Ограничение по конкретным MAC-адресам или по целым пулам (диапазонам) адресов также не гарантирует полноценной защиты, так как каждый клиент сети передает свой MAC-адрес с каждым отправленным пакетом. Перехватив MAC-адрес, злоумышленник может заменить им свой и подключиться к сети с фильтрацией по MAC-адресу, отключив легитимного клиента или дождавшись, пока тот отключится сам[612].
Подключившись к беспроводной сети, злоумышленник может попытаться получить доступ к сетевому устройству, чтобы в дальнейшем перехватывать трафик, менять DNS-адреса для проведения фишинговых атак, пробрасывать через взломанный маршрутизатор VPN-тоннели и т. п. Это становится возможным потому, что, как уже упоминалось выше, администраторы сетевых устройств не уделяют должного внимания защите доступа к интерфейсам администрирования. Многие пользователи не меняют логин и пароль, используемые по умолчанию для доступа к устройству, оставляя дефолтные (их указывают на наклейке на корпусе устройства или в руководстве к нему, а также на специальных сайтах типа https://routerpasswords.com) – наподобие admin/admin или admin/1234).
Еще один очевидный фактор, позволяющий злоумышленникам проникать в сети, – уязвимости в прошивках сетевых устройств. Многие пользователи не обновляют прошивки устройств вовремя и даже не имеют понятия, как и когда их обновлять. Некоторые модели устройств не поддерживают автоматического обновления. В некоторых других моделях, даже если автообновление поддерживается, пользователь должен для обновления прошивки дать устройству соответствующую команду или перезагрузить его.
Согласно исследованию компании Broadband Genie, проведенному в 2018 г., из 2205 опрошенных среднестатистических пользователей только 14 % хотя бы единожды обновляли прошивку своего маршрутизатора. Дефолтные учетные данные администратора и имя беспроводной сети меняли лишь 18 %, а 51 % опрошенных не имели понятия, какие устройства подключены к их сети. Стоит отметить, что 34 % опрошенных не знают, как обновить прошивку, а 48 % вообще не понимают, зачем это нужно[613].
Помимо самих сетевых устройств, злоумышленник может использовать специальное аппаратное обеспечение для непосредственного подключения к кабелям передачи данных. Большинство провайдеров интернета подключают оборудование клиентов к глобальной сети с помощью проводных интерфейсов, например кабелей FTP/UTP (витой пары) или оптоволоконных. Злоумышленник может подключиться к ним, используя специальные средства типа Throwing Star LAN Tap или Pwn Plug[614], причем считывать информацию с оптоволоконного кабеля можно и без его разрыва[615].
Помимо защиты сетевых устройств и выбора доверенных сетей необходимо защищать и сами устройства, на которых осуществляется выход в интернет: смартфоны, планшеты и компьютеры. Отсутствие минимальной защиты от вредоносных объектов и сетевых атак грозит инфицированием устройства, перехватом вводимых данных, фишингом; вовлечением в ботнет-сети для DDoS-атак, в майнинг криптовалют, спам-атаки и т. п. Зараженное устройство может перенаправлять вводимые пользователем URL-адреса на фишинговые ресурсы, если при запуске вредоносного программного обеспечения произошла подмена сетевых настроек (DNS-записей и т. п.).
Очень часто злоумышленники крадут персональные данные пользователей с помощью социальной инженерии – в частности, перенаправляя пользователя на поддельные (фишинговые) сайты. Такие сайты обычно выглядят как оригинальные, но, в отличие от них, не предоставляют каких-либо услуг, а похищают всю вводимую пользователем информацию. Мы уже упоминали в этой книге о фишинговых сайтах; о том, что нужно следить за корректностью ввода URL-адреса в адресную строку браузера, особенно если он не отображается полностью (например, на мобильных устройствах)[616]. Важно отметить, что злоумышленники могут взламывать даже официальные сайты крупных корпораций, после чего встраивать в их страницы фишинговые формы для ввода данных, распространять вредоносный контент, похищать персональные данные посетителей и т. д. Пользователю не следует игнорировать предупреждения средств защиты от цифровых угроз (антивирусного ПО и брандмауэров), оповещающих, к примеру, о том, что посещаемый ресурс (даже официальный, такой как «Госуслуги»[617]) был взломан, сертификат сайта недействителен, сайт проявляет вредоносную или фишинговую активность и т. п. От посещения таких сайтов следует отказаться до исправления проблем на стороне сервера. Крупные компании обычно оповещают пользователей о сбоях и технических работах на сайте по сторонним информационным каналам, например в социальных сетях или по электронной почте.