Hotspot to otwarty, publiczny dostęp do Internetu za pomocą sieci bezprzewodowej. Hotspoty są instalowane najczęściej w instytucjach, firmach lub budynkach użyteczności publicznej, jak hotele, restauracje, dworce, uczelnie, a także w miejscach publicznych, jak na przykład centra miast. Z najnowszego raportu firmy RSA Security wynika, że coraz częściej przestępcy instalują fałszywe punkty dostępu, aby przechwycić poufne dane.
Autorzy raportu przeprowadzili eksperyment, budując w oparciu o laptopa specjalny, powszechnie dostępny hotspot, niczym nie wyróżniający się spośród innych. Nieświadomi niczego internauci wielokrotnie łączyli się za jego pomocą sprawdzając swoje konta bankowe, tym samym umożliwiając właścicielowi laptopa przechwycenie numerów kart kredytowych oraz loginów bankowych.
"Fałszywe hotspoty stanowią obecnie jeden z poważniejszych i najbardziej prawdopodobnych sposobów obchodzenia zabezpieczeń sieci bezprzewodowych - są bardzo łatwe do zestawienia, a atakujacy ma gwarancję, że w krótkim czasie uzyska wiele cennych danych." - mówi Phil Cracknell, konsultant do spraw bezpieczeństwa Capgemini UK. - "Z tego powodu będą używane jako platforma następnej generacji do phishingu i kradzieży tożsamości. Aby się przed tym ustrzec wszyscy mobilni użytkownicy - zarówno biznesowi jak i indywidualni - muszą być świadomi potencjalnego ryzyka związanego z fałszywymi hotspotami i przyjąć jako żelazną zasadę, że żadnych poufnych informacji - jak nazwa użytkownika, hasło czy inne dane osobowe - nie wysyła się za pomocą nieszyfrowanych sieci."
Raport mówi również o sieciach bezprzewodowych w Londynie, Paryżu oraz Nowym Jorku, z których prawie co czwarta pracuje na ustawieniach domyśłnych, czyli praktycznie nie jest w żaden sposób zabezpieczona.
Fałszywe hotspoty
Gregg - Sunday, 28 May 2006, 19:24 Źródło: RSA Security
Komentarze (0)
Uprzejmie prosimy o przestrzeganie netykiety przy dodawaniu komentarzy. Redakcja CDRinfo.pl nie odpowiada za treść komentarzy, które publikują użytkownicy. Aby zmienic swoj avatar zarejestruj sie w serwisie www.gravatar.com.
Nie wiem co za baran po³±czy siê z bankiem z hot spotu 😐
Obawiam siê, ¿e wielu 😛
Tak naprawde niewielu jest ludzi (procentowo oczywi¶cie), którzy maj± pojêcie o zabezpieczeniach jakie powinny byæ zainstalowane w takich punktach dostêpowych. Na dziñ dzisiejszy poprzez hotspota to ja moge sobie ogl±daæ stronki … ale nic wiêcej. Nawet ba³ bym siê pocztê ¶ciagaæ … chocia¿ szyfrowana przez ssl.
Z górniczym pozdrowieniem MS.
je¶li s± to np. ataki typu Man In The Middle, to bynajmniej nie przeszkadzaj± im szyfrowane po³±czenia i tak mog± zdobyæ has³o.
@thek
Oczywi¶cie certyfikaty te¿ umiej± podmieniæ 😉 ? w MITM nie jest tak prosto "z³apaæ" has³o …
Mo¿e od innej strony siê zapytam – a jak± ja mam gwarancjê, ¿e ³±cz±c siê z publicznym, legalnym hot-spotem – kto¶ nie przechwyci moich danych? Nie trzeba tutaj przestêpczych hotspotów – wystarcz± miejskie – legalne – i nieuczciwa firma wy³oniona np. z przetargu na obs³ugê bezprzewodowych po³±czeñ, lub nieuczciwy administrator, który sprzeda z³apane snifferem dane za kilka groszy.
¯adne protoko³y mocnego szyfrowania nie pomog± kiedy sami ludzie bêd± przyklejali kartki z has³ami do ekranów, trzymaæ PINy do bankomatów z kartami itp.
Moim zdaniem przy u¿ywaniu publicznych sieci nale¿y jednak korzystaæ z serwisów transakcyjnych banków, które daj± tokeny RSA.
Ale przecie¿ taki fa³szywy hot-spot przy wykorzystaniu technik kryptografii asymetrycznej i certyfikatów oraz przy zachowaniu pewnych ¶rodków ostro¿no¶ci nic nie zdzia³a. MITM tutaj siê nie zda na nic, poniewa¿ fa³szerz nie dysponuje kluczem prywatnym banku, a wykorzystanie fa³szywego klucza spowoduje wy¶wietlenie stosownego komunikatu przez przegl±darkê i je¶li u¿ytkownik nie jest typu – klika zawsze tak, nie czytaj±c co zatwierdza;) to nie ma siê czego obawiaæ. Przecie¿ w³a¶nie w tym celu powsta³a ca³a infrastruktura PKI – by mo¿na by³o siê ³±czyæ bezpiecznie, poprzez publiczne (niezabezpieczone) kana³y ³±czno¶ci. Wiêc nie wiem, gdzie tu zagro¿enie – chyba tylko niektór fora i maile komunikuj±ce siê za pomoc± plain-textu, ale na pewno nie banki.
Na tej zasadzie to wszedzie moze sie cos takiego zdarzyc, bo przeciez kabel tez mi ktos moze w nocy gdizes podpiac:P Prblem co prawda istnieje, ale moim zdaniem troche przesadzone…