Gefahr über WiFi: Wie Evil-Twin-Angriffe funktionieren und wie man sich vor ihnen schützen kann

Autor/Redakteur: Michael Scheffler, Country Manager DACH bei Varonis Systems/gg

Die Arbeitswelt hat sich in den letzten Jahren komplett verändert. Remote Work ist für viele Mitarbeitende längst zum Standard geworden und damit auch die Nutzung von WiFi-Netzen. Dies blieb natürlich auch bei Cyberkriminellen nicht unbemerkt, die diesen Trend zunehmend ausnutzen. Eine Möglichkeit besteht in sogenannten „Evil-Twin“-Angriffen, bei denen sich „bösartige Zwillinge“ als legitime Access Points ausgeben und es so den Angreifern ermöglichen, Informationen zu stehlen oder ein sich verbindendes Gerät zu infiltrieren.

Evil-Twin-Attacken fallen in die Kategorie der Man-in-the-Middle (MitM)-Angriffe. Cyberkriminelle richten hierzu ein gefälschtes WiFi-Netzwerk ein, über das sich die arglosen User mit dem Internet verbinden. Dies geschieht häufig in öffentlichen Umgebungen, in denen Menschen am ehesten nach frei verfügbarem WiFi suchen oder sich mit diesem verbinden, etwa auf Flughäfen und Bahnhöfen oder auch in Cafés. Dabei weisen die gefälschten Netzwerke dieselben Namen wie ihre legitimen Zwillinge auf. Verbinden sich die User dann mit diesem Netz, können die Angreifer die Internetverbindung abfangen und sich „in die Mitte“ zwischen den Usern und dem Internet setzen. Auf diese Weise können sie Anmeldedaten stehlen, sensible Details und Informationen von den besuchten Websites einsehen und sogar bestimmte Befehle und Aufgaben umleiten.

Ablauf des Angriffs

Evil-Twin-Angriffe sind relativ einfach einzurichten und gleichzeitig aufgrund der Art und Weise, wie sich Geräte mit dem WLAN verbinden, schwer zu erkennen. In aller Regel laufen sie in vier Schritten ab.

Schritt 1: Zwillings-Netzwerk einrichten

Zunächst suchen sich die Angreifer einen geeigneten Ort für ihre Aktivitäten. Idealerweise handelt es sich dabei um einen Bereich, an dem viele Menschen eine Verbindung zu kostenlosen WiFi-Netzwerken suchen. Mit einem Hotspot können sie ihr eigenes WiFi-Netzwerk einrichten und dieses durch Tools wie hostapd-wpe als ein beliebiges Netzwerk ausgeben. Um die Täuschung perfekt zu machen, verwenden sie dieselbe SSID (Netzwerk-Name) wie das bereits bestehende Netzwerk. Je nachdem, wie raffiniert sie sind, können sie sogar die MAC-Adresse replizieren. Da Geräte bei der Netzwerk-Wahl oft nur die SSID anzeigen, ist es schwierig, das echte Gerät vom gefälschten zu unterscheiden, ohne nach bestimmten Details zu suchen, die auf einen Angriff hindeuten könnten.

Schritt 2: Captive Portal einrichten

Wählt man sich in ein (öffentliches) WiFi ein, erscheint oft zunächst eine separate Website oder ein Pop-up-Fenster (Captive Portal), um den Zugriff auf das Drahtlos-Netzwerk zu erhalten. Hier wird man meist zur Eingabe einiger Daten aufgefordert, bevor man auf das Internet zugreifen kann. Angreifer richten eigene Portale ein, um vertrauliche Informationen (wie Anmeldedaten) zu stehlen. Dadurch können sie sich mit dem ursprünglichen WiFi-Netzwerk verbinden und weiterhin vorgeben, dass die WiFi-Verbindung legitim ist. Auch hierfür gibt es Tools wie dnsmasq, mit deren Hilfe sich Portale einrichten und DNS-Server fälschen lassen, um den Anschein von Legitimität zu erwecken.