DNS Spoofing e Phishing: rischi per WiFi non protetta

Cosa succede quando lasciamo la nostra rete Wifi aperta e senza password? Cosa può fare qualcuno che si connette senza il nostro permesso? Quali pericoli corrono gli utenti della rete locale?

Spesso sento parlare di persone che lasciano la propria rete wireless senza password di protezione giustificando questa scelta con il fatto di avere una tariffa flat, ovvero non a consumo e senza limiti.
Questo ragionamento è sbagliato e potenzialmente dannoso poiché un intruso in una rete wifi può svolgere attività peggiori di quelle che ci si aspetta.

I rischi che si corrono sono davvero tantissimi ma in questo articolo ne analizzeremo uno, a mio parere, molto interessante.
Si tratta di ARP Poisoning e DNS Spoofing in relazione al Phishing. Vedremo ora cosa significa.

 

Cos’è un DNS

Partiamo dall’inizio: quando noi visitiamo un sito web siamo abituati a cercare e a vedere questo con il suo nome di dominio, per esempio google.it o facebook.com.
Ogni sito web si trova su un server che non è altro che un potente computer che custodisce il sito ed i suoi dati.
Ogni computer e server ha un indirizzo chiamato indirizzo IP.
Il sistema che collega il nome di dominio “in lettere” all’indirizzo IP “in cifre” è chiamato DNS.
DNS è un acronimo che sta per Domain Name System ovvero Sistema dei Nomi di Dominio.

Esempio

Troviamo l’indirizzo IP di Google:

Ping IP di Google.it

Visitiamolo come se fosse un normale sito web:

Visita IP di Google.it

Com’è possibile vedere, visitare il sito attraverso il suo nome di dominio o attraverso il suo indirizzo IP porta allo stesso risultato e potete provare anche voi cliccando qui: 173.194.116.47.
Questo è possibile perché i server DNS associano google.it a 173.194.116.47

 

DNS Spoofing

Il DNS Spoofing è una tecnica (derivata dall’ARP Poisoning) che permette a un utente all’interno di una rete locale di “ingannare” i dispositivi presenti con delle associazioni modificate tra nomi di dominio ed indirizzi IP.
Questo vuol dire che ad esempio il nome di dominio facebook.com può essere associato con l’indirizzo IP di un server dannoso senza che l’utente della rete possa accorgersene con conseguenti rischi per la privacy e la sicurezza.

 

Phishing

Il Phishing è una tecnica che permette ad un utente di “clonare” un sito web modificandolo in modo tale da poter ricevere, ad esempio per email, i parametri d’accesso che i visitatori inseriscono.

 

Cosa lega DNS Spoofing, Phishing e una rete non protetta?

Immaginiamo questa situazione: un utente trova una rete Wifi senza protezione, si collega e utilizzando la tecnica di cui ho parlato sopra associa i nomi di domini di webmail (per esempio libero.it, hotmail.it, gmail.com ecc.), banche e social network all’IP del suo server. Tutti gli altri utenti della rete saranno a loro insaputa collegati al server pronto per rubare le credenziali pur continuando a vedere l’URL corretto e “consegneranno” i propri parametri d’accesso al creatore della trappola.

Vediamo ora l’esempio concreto:

Comando ifconfig

Impostiamo la scheda di rete in modo tale da poter ricevere i “pacchetti” di dati di qualsiasi dispositivo.

Record DNS fasulli per Facebook

Prepariamo la nuova associazione tra facebook.com e l’indirizzo IP dannoso (da inviare nella rete) sostituendolo con 192.168.1.70 ovvero quello del computer dell’attaccante.

Avviamo lo strumento che immetterà in rete le false associazioni dominio IP

Comando ettercap

Assicuriamoci che l’operazione sia andata a buon fine:

Falso sito di Facebook

Perfetto, adesso tutti i dispositivi che cercheranno di collegarsi a facebook.com si connetteranno in realtà al nostro computer.

Output comando ettercap

Adesso non rimane che costruire il “sito-trappola” per catturare i dettagli d’accesso degli utenti che si connetteranno a facebook.com all’interno della rete. Per farlo utilizzeremo S.E.T. Social Engineer Toolkit.

Visitiamo il sito apparentemente reale di facebook.com

Come si può notare nella barra degli indirizzi è sempre presente il reale nome di dominio facebook.com mentre il contenuto della pagina è quello presente sul nostro computer, infatti una volta eseguito il login, i dati contenuti nei campi “email” e “password” saranno salvati sul nostro computer senza che l’utente che visita il sito si accorga di nulla.

Email e password di Facebook

Questo è solo un esempio delle centinaia di implicazioni che può avere il lasciare una rete Wi-Fi aperta ma rende perfettamente l’idea di quanto possano essere “potenti” e dannosi per la privacy questi tipi di attacchi. Si pensi allo stesso processo per un sito bancario.

 

Come difendersi

Difendersi da questo tipo di pericoli non è sempre semplice perché ogni giorno vengono scoperti nuovi sistemi per aggirare le protezioni, ma il mio consiglio è quello di proteggere la propria rete con una password molto complessa e di collegarsi sempre ai siti web utilizzando il protocollo https che non può essere compromesso.

 

Andrea Carriero | BTBH
https://btbh.net
https://codethinker.net
andrea@btbh.net

Commenti

commenti