楼主:
ReDmango (爱战暱称的哪个白痴)
2018-02-20 19:51:53※ [本文转录自 Gossiping 看板 #1QZ0hLmb ]
作者: ReDmango (10K高清) 看板: Gossiping
标题: Re: [新闻] 才连中国公共WiFi几分钟 他2.8万存款不翼
时间: Tue Feb 20 19:47:30 2018
Wifi Phishing这东西应该也快20年了,
但是到2018年的今天,大家还是很喜欢用公共免费Wifi呵呵。
本篇介绍资安基础中的基础,尽量将名词翻译成一般人可以听懂的。
Wifi Phishing大致上分成三种:
一、假造热点,提供互联网。
二、假造热点,不提供互联网。
三、攻击热点,直接撷取资料。
给大家一个简单的基本概念:
只要掌控封包,
使用者所有未加密的资讯都将会开诚布公,
一五一十的出现在你面前。
(像PTT默认就是明码传输,你的WIFI提供者可以直接看到妳的帐号密码)
明码传输连一点技术门槛都没有,连破解都不用破解。
而已加密的资讯,目前使用SSL2.0的服务器也几乎都有办法破解,
只是运算的时间问题。
一、假造热点,提供互联网。
透过伪装的热点名称,让终端使用者连入,
你就可以掌控使用者传送的所有封包。
也可以透过DNS Forwarding,造假使用者想要连接的网页。
现在我们来假设终端使用者的装置,想要连线上Gmail.com,
其实是连接到127.0.0.1/hack-gmail。(假设)
127.0.0.1是你自己的电脑,
hack-gmail是当使用者连线上Gmail.com时所实际开启的网页,
此时使用者装置认为的Gmail.com就是你的电脑的这个网页。
现在使用者透过他的装置开启的Gmail.com已经被你所掌控,
他只要一输入帐号密码,其实是写到你自己建立的数据库中,
你再捞出这个帐密,到真的Gmail.com填入,再把画面腾给使用者,
终端使用者并不会感受到任何差异,他最终打开的依然是他的Gmail信箱,
信也都是他的,也可以正常收信、寄信或者执行任何动作。
任何的网站皆可以如此做,只是复杂度与时间性的问题。
如果今天伪装了一个网络银行的页面,让你输入了登入验证资讯,
你的网络银行立刻门户大开。
伪装网站只是最常见的一件攻击方式,
可以很简单,也可以很难。
除此外还有无数种可以获取使用者资料的模式。
而拿到使用者的帐号密码后,基本上网络上所有的服务你都可以登入,
因为大多数的使用者在所有的服务上,都使用完全相同的帐号密码。
二、假造热点,不提供互联网。
呈上点,你已经知道了最常见的造假网站。
造假网站最难的技术门槛是,要把使用者导回真正的网站,
那我们干脆不要把使用者导回真正的网站如何?
这样就简单多了,技术门槛直接大幅下降。
你会问:“不转回真正的网站,那使用者不就知道网络被骇了?”
对阿,到这里你就该知道有问题了,但是有九成九的人,都不会觉得异常。
这次以Facebook来举例。
比较初阶的模式,只做登入页面,使用者登入后,就一片空白没有下一步了。
进阶一点,我们可以做一个“帐号密码输入错误”的提醒页面。
唉,既然都已经做了输入错误的页面,那干脆这边也写入数据库好了吧,
使用者会因为帐号密码显示错误,不停地尝试各种自己用过的帐号密码。
你输入的每一个帐号密码,我都记录在数据库里了,
那么以后我只要用这些帐号密码去试你别的服务,总有一个会中。
既然输入错误的页面都已经做了,
那干脆做一个忘记密码的页面吧。
于是又做了一个忘记密码的页面,
使用者输入的信箱、安全验证问题(你小学老师或你家狗叫啥等等),
也全都记录在数据库中。
然后你再去信箱收信,可是信箱也是被假造的网站,
于是你发现原本要登Facebook登不进,现在连信箱都登不进了。
也就是有心人目前已经得知了你的Facebook帐号密码,
也知道了你的安全验证问题,也知道了你收验证信用的Gmail信箱帐号密码。
喔对了,那干脆再做一个,
你的帐号异常遭锁定,需要提交Facebook身分证件页面好了,
于是乎你的身分证件也被你拍下来上传给我了。
现在的终端使用者大部分都会记忆连过的热点名称,
连接到伪装过的公共WIFI后,进入假的Captive Portal认证登入页面,
使用者输入帐号密码,就提供给他互联网。
在很多不安全的Captive Portal页面,“记住我”是一件非常可怕的事情,
透过Cookie或装置其他方式自动化的输入或登入,
让使用者没有可以察觉网页异常的时间,
便自动将帐号密码直接送给他人。
而又回到刚刚讲过的多数人所有帐密都一样的问题上,
知道了你的网络认证密码,基本上其他的也都拿到了。
一直以来iTaiwan都有这个问题,我在多年前也反映给国发会过,
只要很简单的改进方式就可以改善,结果数年来一直都没改,
一直到去年底我发现终于iTaiwan在cookie中加上了认证的标签。
好,讲了那么多,其实上面讲的都是最易懂的钓鱼方式,
结论就是,当你别人WiFi的那一刻,你基本上就已经在裸奔了。
(当然用自己的也可能就是了拉)
#基本上会用公共WiFi跟抗拒行动支付是同一群人