Günümüzde kablolu ağlardan daha çok kablosuz ağlar hayatımızın her anında karşımıza çıkmaktadır. Kablolu ağlara göre daha düşük bir maliyet ve yüksek erişilebilirlik avantajları vardır. Fakat iş, güvenlik konusuna geldiğinde siber saldırganlar kablosuz ağ üzerinden Evil Twin Attack olarak adlandırılan bir saldırı gerçekleştirmektedir. Evil Twin Attack temel olarak bir MITM (Man in the Middle- Ortadaki adam) saldırısıdır. Bir Evil Twin saldırısında saldırganın amacı internete bağlanan bir cihaz ve o interneti yayan Router veya Acess Point arasına girip hedeflemiş olduğu kişi kendini interneti yayan router gibi göstermek ve gerçek router’a deauth Saldırısı(Kullanıcının ağ bağlantısını kesme saldırısı) uygular. Gerçek router deauth saldırısından dolayı internet hizmetini yayamayacak durumda olacağından saldırgan bu ara da devereye girer.
Evil Twin Saldırısı Nasıl Gerçekleştirilir, Senaryoları Nedir?
Bilgisayar Korsanları, bir Evil Twin Attack gerçekleştirmek için öncelikle sabırsız kullanıcıları hedeflerler ne yazık ki, birçok insan bu tür kullanım alışkanlığına sahip. Genellikle kafeterya veya halka açık bir alanda bulunduğumuz kuruluşun ücretsiz sunmuş olduğu Wİ-Fİ ağına girmek isteriz. Ancak bu isteğimizin bir bedeli olabilir. Bilgisayar korsanları, güvenli görünen bir Wİ-Fİ ağının bağlantısını kendi internetini yayan bir router gibi gösterebilir ve bu ağa bağlandığınızda kullanıcı olarak bizlerin çevrim içi yaptığı her şeyi görebilir veya çalabilir.
Senaryo 1: Kafeterya veya Restoran Wİ-Fİ Ağları Üzerinden Bilgi Elde Etme
Bir kafeterya da internete bağlanmak istediğiniz zaman sizden çeşitli bilgiler isteyen bir giriş sayfası ile karşılaşırsınız bu karşılaşmış olduğunuz sayfaya Captive Portal denmektedir. Captive Portal kullanmanın amacı internet kullanımı daha güvenli bir hale getirebilmek ve ek bir doğrulama faktörü sunmasıdır. Telefon numaranız, Adınız veya Anne kızlık soyadı gibi kritik verileri sizden talep ederek internete girmenize izin verir aslında tam bu arada bilgisayar korsanları devreye girmektedir bağlanmış olduğunuz ağın güvenli bir kafeterya ağı olduğunuzu sanmaktasınız, aslında bilgisayar korsanı bağlanmış olduğunuz ağı sahte Captive Portal haline getirmiştir ve internete bağlanmak istediğimiz ağ yerine bilgisayar korsanın eline bizzat bizim için kritik olan bilgilerimizi teslim etmiş oluruz. Peki bu adımlar nasıl gerçekleşmektedir;
- Bir kafeterya, kafeteryanın kullanmış olduğu Wİ-Fİ sağlayıcısı adında yeni bir Captive Portal oluşturur ve gerçek router’a deauth Saldırısı uygular.
- Kafeteryaya gelen kurban ağa bağlanmak ister ve bilgisayar korsanının yeni yaratmış olduğu sahte Captive Portal’a bağlanmak için istek yollar.
- Kurbanın karşısında bilgisayar korsanının yaratmış olduğu sahte bir Captive Portal ekranı çıkar. Bu portal saldırganın istediği bilgileri sunabilmektedir. (Telefon numarası, T.C. Kimlik numarası…)
- Kurban istenilen bu bilgileri girer ve sahte Captive Portal’a bağlanmak için bağlantı isteğini yollar ve bilgisayar korsanı eline istediği bilgiler ulaştıktan sonra sahte Captive Portal’ı o kurbana kapatır.
Senaryo 2: Ev Senaryosu
Birinci senaryomuzda bilgisayar korsanın temel amacı hedeflediği kişilerin veya kurbanlarının kimlik numarası, telefon numarası veya başka özel bilgilerini elde etmekti. Ancak bazı durumlarda bilgisayar korsanları özel bilgi edinmek yerine bir evin veya bir iş yerinin Wİ-Fİ ağının parolasını elde etmek isteyebilir. Böylece elde edeceği Wİ-Fİ parolası sayesinde ilgili router’a giriş yapıp daha farklı ve daha fazla bilgi alabileceği ağ içi saldırıları gerçekleştirebilir bu senaryonun adımları ise şu şekilde olabilmektedir;
- Bilgisayar korsanı ilgili bir hedef bulduğunda o ağın parolasını kırmak için elinden geleni yapsa bile günümüzde WPA ve WPA2 parolaları kolay kırılmamakta ve bu parolayı kıramadığı için bilgisayar korsanı EVİL TWİN saldırısı yapacaktır.
- İlgili router’ın Wİ-Fİ ağı ile aynı isimde, daha güçlü sinyal veren sahte bir Captive Portal oluşturmasıyla başlar.
- Bilgisayar korsanı evdeki router’ı Deauth saldırısı ile düşürüp kendi yarattığı Captive Portal’ın ayakta durmasını sağlayacaktır. Evdeki interneti kullanan kullanıcı internetin koptuğunu düşünecektir ve telefonunun veya tabletinin Wİ-Fİ kısmına girmek isteyecektir. Bu kısımda kendi gerçek ağı gözükmeyecek ve bilgisayar korsanının yeni yaratmış olduğu sahte Captive Portal ağı gözükecektir ve kullanıcı bunu fark edemeyeceği için bilgisayar korsanının ağına kendi ağı sanıp bağlanmaya çalışır.
- Ağa bağlanırken kurbana Router’ınızın güncellenmesi gerekiyor bunun için şifrenizi ve kullanıcı adınızı girin vb. Arayüzlerle hazırlanmış bir sayfa karşısına gelecektir kullanıcı ise bu durumda tereddüt edebilir fakat internetine tekrar kavuşmak için kullanıcı adını ve şifresini girmek isteyecektir.
- Bu saldırı sayesinde bilgisayar korsanı hedef router’ın kullanıcı adını ve şifresini kurban karşısına çıkan arayüzde ne istiyorsa elde etmiş olacaktır ve kendi sahte Captive Portal ağını kurbana karşı kapatıp gerçek olan router ağını tekrar devreye sokacaktır. Kullanıcı ise şifresini yazdıktan sonra bu olayın düzeldiğini sanıp internetine kavuşacaktır.
OZZTECH ipucu der ki: Eğer bir kablosuz ağa bağlandıysanız ve bir kez şifresini girdiyseniz ve sonrasında ilgili ağı unut demediyseniz sistem sizden asla aynı şifreyi tekrar girmenizi istemez.