Diese werden mindestens seit 2008 mit einem Angriff namens “Jasager” eingesetzt und können von jedem durchgeführt werden, der selbstgebaute Tools oder handelsübliche Geräte wie das Wi-Fi Pineapple nutzt.
Hier sind einige Videos, die mehr zum Thema erklären:
- HOPE 2020, https://archive.org/details/hopeconf2020/20200725_1800_Advanced_Wi-Fi_Hacking_With_%245_Microcontrollers.mp4
- YouTube, Hak5, Wi-Fi Pineapple Mark VII https://www.youtube.com/watch?v=7v3JR4Wlw4Q Invidious
Diese Geräte passen in eine kleine Tasche und können die WLAN-Umgebung jedes Ortes in ihrer Reichweite übernehmen. Zum Beispiel eine Bar, ein Restaurant, ein Café oder eine Hotellobby. Diese Geräte können WLAN-Clients zwingen, sich von ihrem aktuellen WLAN zu trennen (mittels De-Authentifizierungs- und Disassoziationsangriffen), während sie gleichzeitig die normalen WLAN-Netzwerke am selben Ort vortäuschen. Sie führen diesen Angriff so lange fort, bis dein Computer oder du selbst beschließt, eine Verbindung zum gefälschten AP herzustellen.
Diese Geräte können dann ein Captive Portal mit genau demselben Layout wie das WLAN nachahmen, auf das du zugreifen willst (zum Beispiel ein Anmeldeportal für ein Flughafen-WLAN). Oder sie könnten dir einfach uneingeschränkten Internetzugang geben, den sie sich selbst vom selben Ort holen.
Sobald du über den gefälschten AP verbunden bist, kann dieser AP verschiedene Man-in-the-Middle-Angriffe ausführen, um deinen Datenverkehr zu analysieren. Das könnten boshafte Umleitungen oder einfaches Mitschneiden des Datenverkehrs sein. So lässt sich leicht jeder Client erkennen, der zum Beispiel versucht, sich mit einem VPN-Server oder dem Tor-Netzwerk zu verbinden.
Das kann nützlich sein, wenn du weißt, dass sich jemand, den du deanonymisieren willst, an einem belebten Ort befindet, du aber nicht weißt, wer es ist. Das würde es einem solchen Angreifer ermöglichen, mittels Datenverkehrsanalyse möglicherweise jede von dir besuchte Website per Fingerprinting zu erkennen, trotz des Einsatzes von HTTPS, DoT, DoH, ODoH, VPN oder Tor, wie weiter oben im DNS-Abschnitt aufgezeigt.
Diese können auch genutzt werden, um dir sorgfältig gestaltete, fortgeschrittene Phishing-Webseiten auszuliefern, die deine Zugangsdaten abgreifen oder dich dazu bringen würden, ein bösartiges Zertifikat zu installieren, mit dem sie deinen verschlüsselten Datenverkehr einsehen können.
Wie kann man das abwehren? Wenn du dich mit einem öffentlichen WLAN-Zugangspunkt verbindest, nutze Tor oder ein VPN und dann Tor (Tor over VPN) oder sogar (VPN over Tor), um deinen Datenverkehr vor dem gefälschten AP zu verschleiern, während du ihn trotzdem nutzt.
Quelle: The Hitchhiker’s Guide to Online Anonymity, geschrieben von AnonyPla © CC BY-NC 4.0