Virus e sicurezza informatica: Phishing Avanzato – Captive Portal (Esperimento con dati reali)

Se possedete uno smartphone sicuramente viaggiando o semplicemente uscendo in città vi sarà capitato di cercare qualche rete WiFi a cui connettervi per aggiornare i social network, le mail o semplicemente fare qualche ricerca in internet.
Se come me fate spesso questa operazione vi sarete di certo imbattuti almeno una volta in qualche rete WiFi apparentemente libera (ovvero che non richiedesse una password per collegarsi alla rete) ma che poi dopo l’accesso alla rete facesse apparire sullo smartphone un popup richiedendo di comprare del credito o di inserire delle credenziali.
Questa tecnica di richiedere un’autenticazione dopo la connessione e soprattutto di far puntare qualsiasi richiesta di apertura di un sito web verso la stessa pagina (quella che richiede il login) è chiamata  Captive Portal.

 

Il Captive Portal è una minaccia informatica?

No, di per se il Captive Portal è una normale tecnica di autenticazione utilizzata spesso in infrastrutture più grandi della classica LAN di casa.

 

Come può diventare una minaccia per la sicurezza?

Il Captive Portal può essere utilizzato da un hacker come “rampa di lancio” per una pagina di Phishing.

 

Captive portal

 

Lo scopo è reindirizzare gli utenti verso la pagina di phishing senza bisogno di “attirarli” verso la pagina, perchè qualsiasi sito proveranno ad aprire, il software del Captive Portal lo cambierà sempre in quello predisposto dall’hacker.

 

Come si mette in pratica? (Esperimento con dati reali)

Mettere in pratica un attacco di questo tipo è molto macchinoso, non solo per la configurazione del software ma anche per quanto riguarda mettere insieme dell’hardware funzionante.

  1. Bisogna munirsi di un’antenna WiFi piuttosto potente per creare l’hotspot WiFi “aperto e gratuito”
    Durante il mio esperimento ho utilizzato un comune router WiFi collegato via cavo Ethernet al pc.
    Dovendo mettere l’antenna in un luogo pubblico, il tutto è stato alimentato da una batteria per moto.
  2. Per svolgere le funzioni di reindirizzazione e Captive Portal il pc deve funzionare come un Router. Per questo bisogna installare in una Macchina Virtuale un sistema operativo apposito. In questo caso ho utilizzato Pfsense.
    pfsense
  3. Dopo aver configurato Pfsense bisogna costruire una semplice pagina di Phishing da caricare nel Captive Portal.
    Per capire come funziona una pagina di phishing potete leggere QUESTO mio precedente articolo.
  4. Affinché esca un popup su ogni smartphone collegato è necessario uno “sbocco” reale  su internet dalla rete WiFi appena creata. Per questo motivo è inoltre necessario collegare un modem che utilizzi la connettività telefonica. Nell’esperimento che ho condotto ho utilizzato il mio iPhone con una connessione LTE ad alta velocità.
    La reale connettività ad internet è necessaria perchè gli smartphone hanno un sistema che serve a capire se esiste davvero la possibilità di collegarsi ad internet e solo in quel caso viene mostrato il popup.

 

Smartphone screenshots con una pagina di phishing

 

Risultati dell’esperimento

In 5 ore di attività nel centro della città sono state effettuate 57 connessioni alla rete.
22 utenti hanno rinunciato alla connessione dopo il popup.
35 utenti hanno inserito le proprie credenziali senza accorgersi della “trappola”.

Tutti i dati sono stati raccolti solo ed esclusivamente a scopo di studio. Non sono stati visionati in quanto sono stati criptati nel momento stesso in cui sono stati raccolti per preservare la privacy. Tutti i dati sono stati distrutti al termine dell’esperimento.

 

Andrea Carriero | BTBH
https://btbh.net
http://codethinker.net
andrea@btbh.net

 

Commenti

commenti