it-swarm.com.de

Unhöflicher Nachbar mit PineAP oder ähnlichem

In der letzten Woche hatte ich Probleme mit WLAN in meinem Haus, und es scheint, dass mein Nachbar eine Ananas oder ähnliches eingerichtet hat, die einen bekannten Leuchtfeuerangriff und/oder Karma/Dogma ausführt. Es stört auch Geräte, die eine Verbindung zu meinem WPA2-AP herstellen.

Symptome:

  • Eine rotierende Liste von 20 oder 30 SSIDs wird mit gebräuchlichen Namen (attwifi, Google Starbucks, wifi ...) und mit sehr spezifischen Namen (die SSID der Stadtbibliothek wifi, zufällige Standard-Router-SSIDs wie SpectrumXXXX, Fios-XXXX) angezeigt.
  • Wenn Sie eine Verbindung zu einer der SSIDs herstellen, werden Sie aufgefordert, sich anzumelden. Auf Android-, iOS- und MacOS-Geräten, jedoch nicht auf Windows 10-Geräten, wird eine gefälschte FB-, Google- oder andere Phishing-Seite angezeigt
  • Es scheint irgendeine Art von WLAN-Störung zu geben. Mein WPA2-AP hat in meinem Haus ein stärkeres Signal als der Rogue-AP, aber Geräte benötigen 10 bis 30 Minuten, um automatisch eine Verbindung zu meinem Netzwerk herzustellen. Die Geräte sagen, verbunden, kein Internet und nach wiederholten Wiederverbindungen wird es irgendwann funktionieren. Wenn Sie das Gerät laufen lassen, kann es eine Verbindung herstellen. Dies ist besonders ärgerlich beim Smart-TV, der 20 Minuten darauf wartet, dass er funktioniert.
  • Der böse Zwilling scheint ziemlich einfach zu sein, er präsentiert für alle SSIDs den gleichen MAC, beginnend mit 00:13:37, immer nur Kanal 11, 2,4 GHz
  • Das Ding ist mächtig. Ich habe eine Stolper-App auf meinem Telefon verwendet, die ein Signal für einen Radius von über 250 m hat und nicht direktional zu sein scheint. Wenn ich zu nahe komme (innerhalb von ca. 100 Fuß), reagiert das WLAN meines Telefons nicht mehr und ich erhalte die Meldung, dass das WLAN blockiert ist. 100 Fuß befindet sich mitten auf der Straße und ist daher stark genug, um Fehler auf meinem Telefon zu verursachen, wenn ich in der Nähe meines Hauses fahre.

Die MAC-Adresse gibt an, dass es sich möglicherweise um ein PineAP oder ein Gerät handelt, auf dem wifiPhisher ausgeführt wird. Die zurückgesendeten AP-Namen scheinen von einem WLAN-Harvester oder von einem Stolperstein oder einer Datenbank gesammelt zu werden.

Ich bin hauptsächlich frustriert über die Störung meiner APs. Nichts scheint falsch zu sein, was ich in meinen APs (Unifi) und meinem Router (Frontier, mit DHCP) sehen kann, keine zusätzlichen Clients oder seltsamen Datenverkehr, aber sie verfügen nur über eingeschränkte Datenerfassungsfunktionen. Ich habe gerade einen Alfa-WLAN-Adapter bestellt, um festzustellen, ob ich ein Aireplay oder eine andere ungewöhnliche Aktivität erkennen kann, die auf ein DoS oder Deauth oder einen anderen Angriff auf meinen AP hinweist.

Worauf muss ich achten, um einen Angriff zu erkennen? Ich vermute, dass Airodump mir einen Hinweis auf einen Angriff geben sollte, wenn er stattfindet, aber ich weiß nicht wirklich, wonach ich suchen soll.

Was kann ich tun, um zu verhindern, dass eine automatische Verbindung zu SSIDs hergestellt oder der nicht autorisierte AP blockiert wird?

Irgendwelche anderen Ideen für den Umgang mit dem Gerät?

Gibt es ein einfaches Tool, um die Phishing-Formulare mit Daten zu spammen? Es scheint, als würde das Senden von Junk-Anmeldungen in einer Schleife an den nicht autorisierten AP den Speicher füllen und den Betrieb beeinträchtigen, mit dem zusätzlichen Vorteil, dass echte Anmeldeinformationen vergraben werden, die von unachtsamen Personen eingegeben wurden.


Klarstellung

Die meisten Kommentare deuten auf eine von zwei Routen hin, sprechen Sie mit dem Nachbarn oder rufen Sie die Polizei an. Ich verstehe diese Optionen, aber ich möchte die Absicht und das Risiko etwas besser verstehen, bevor ich das tue.

Als Analogie ist es wirklich ärgerlich, wenn ein Nachbar sein 1000-Watt-Flutlicht eingeschaltet hat und es in mein Schlafzimmerfenster scheint, und der Nachbar ist rücksichtslos. Die richtige Antwort wäre, mit dem Nachbarn zu sprechen. Wenn sich ein Nachbar im Gebüsch versteckt, Videos filmt und Licht in mein Haus strahlt, ist der Nachbar ein Verbrecher und es ist angebracht, sich an die Strafverfolgungsbehörden zu wenden.

Ich versuche zu sagen, ob der Nachbar ein neues Spielzeug gekauft und es einfach angeschlossen gelassen hat oder böswillige Absichten hat. Wenn es das erste ist, wird das Problem durch höfliches Fragen behoben. Wenn es das zweite ist, werden sie durch höfliches Fragen darauf aufmerksam gemacht, dass sie entdeckt wurden, und könnten zu subtileren Methoden führen, die schwerer zu erkennen sind. Das Einreichen von Müll an ihr Gerät wäre das Äquivalent dazu, meine Flutlichter einzuschalten, um wieder in ihr Haus zu scheinen, vielleicht passiv-aggressiv, aber auch ein Anstoß zur sozialen Konformität.

Worauf muss ich achten, um einen aktiven Angriff gegen ein aktuelles Pentest-Gerät zu erkennen? Wäre es in Airodump offensichtlich? Oder ein anderes Werkzeug? Gibt es noch etwas, wonach ich suchen sollte?

Um einige der Fragen zu beantworten, bin ich in einer Vorstadt in Texas und erwarte nicht, dass die örtlichen Strafverfolgungsbehörden dies verstehen, es sei denn, ich führe sie an der Nase (und nur dann, wenn ich Glück habe). FCC, FBI oder ähnliches mögen ein wenig Interesse haben, aber es ist sehr gering, ein Heim-WLAN anzugreifen oder mit 1 Watt zu senden.

Ich habe nicht gesehen, dass das Gerät meine SSID aktiv verkörpert, und es hat definitiv kein WPA angezeigt. Die Störung meiner Verbindungen wäre also entweder Rauschen oder so etwas wie ein aktiver Deauth-Angriff (wie würde ich das erkennen?).

Außerdem bietet das Gerät keine funktionierende Internetverbindung. Nach der Phishing-Seite wird eine 401-ähnliche Nachricht angezeigt, und das war's. Es kann also kein http-Verkehr abgehört werden, der nicht stattfindet.

23
user15741

Sie befinden sich an einem schwierigen Ort. Wenn Ihr Nachbar aktive Angriffe gegen Sie ausführt und eine Ananas aufgestellt hat, die Ihren AP nachahmt, haben Sie meiner ehrlichen Meinung nach ein ernstes Problem. Sie können Ihre eigene SSID, die sie verkörpern, nicht "blockieren". Am besten schalten Sie das WLAN aus und nutzen Sie das lokale LAN so oft wie möglich.

Für alles, was Wifi verwenden muss: Es ist kritisch, dass Sie Ihre URLs auf HTTP/HTTPS überprüfen. Der häufigste böse Trick, den ich in einer solchen Situation sehe, ist das Entfernen von SSL, das im Grunde so tut, als ob Sie sich auf https befinden, Sie jedoch auf http setzen, damit die Ananas Klartextinformationen kratzen kann. Überprüfen Sie daher Ihre URL-Leiste jedes Mal, wenn Sie sich bei etwas für diese https-Sperre anmelden.

Blockieren Sie SSIDs damit: http://mywindowshub.com/add-remove-wireless-network-allowed-blocked-filter-list-windows-10/ Es gibt Artikel für jedes Betriebssystem, die Sie finden können sie mit einer Google-Suche.

Nur das Wiresharking Ihres Datenverkehrs kann Ihnen viel darüber erzählen, was bei Angriffen vor sich geht, aber es ist harte Arbeit, dies zu durchsuchen und Injektionen usw. zu erkennen.

Sie werden höchstwahrscheinlich kein Glück mit den örtlichen Strafverfolgungsbehörden haben. Ich würde vorschlagen, an S.S. https://www.justice.gov/criminal-ccips/reporting-computer-internet-related-or-intellectual-property-crime zu berichten

Es wäre auch ratsam, mit all Ihren Nachbarn zu sprechen (da höchstwahrscheinlich alle von Ihnen angegriffen werden) und als Gruppe zu gehen und zu fordern, dass der Wifi-Identitätswechsel gestoppt wird. Ehrlich gesagt würde ich zuerst S.S. anrufen und fragen, was sie empfehlen. Sie können US-Cert auch per E-Mail um Rat fragen: https://www.us-cert.gov/forms/report

6
bashCypher

Verwenden Sie jetzt LAN. Sie sollten einfach aufhören, Geräte zu verwenden, die WiFi benötigen.

Versuchen Sie herauszufinden, wer der störende Nachbar ist, und nehmen Sie Kontakt auf. Wenn er/sie die PineAP nicht ausschaltet, rufen Sie die Strafverfolgung an.

Beteilige dich nicht an kleinen Hackerspielen.

  1. Hier erhalten Sie keine Hilfe oder Anleitung
  2. sie werden höchstwahrscheinlich das kurze Ende des Geschäfts bekommen und
  3. sie werden sich höchstwahrscheinlich an illegalen Aktivitäten beteiligen.

Versuchen Sie, damit genauso umzugehen, wie Sie es mit einem Nachbarn tun würden, der mitten in der Nacht ohrenbetäubende Musik hört. Gehen Sie nicht zu ihrem Haus und manipulieren Sie ihre Stereoanlage.
Sagen Sie ihnen, sie sollen es ausschalten oder jemanden anrufen, der befugt ist, sie zu zwingen.

In Bezug auf Ihre Bearbeitung:

"Ich versuche zu sagen, ob ...", "Was müsste ich suchen, um zu erkennen ..." "Wie würde ich das erkennen?"

Das ist nicht dein Job. Das ist die Aufgabe eines Ermittlers ive (oder einer anderen Person in der Strafverfolgung).
Nur weil Sie das Gefühl haben, etwas Wissen in diesem Bereich zu haben - die Fragen, die Sie bisher gestellt haben, unterstützen dieses Gefühl nicht -, heißt das nicht, dass Sie Mr. Robot (versuchen) sollten. Überlassen Sie dies den Profis.

3
Tom K.