Wifiphisher voert phishingaanval uit tegen wifi-netwerken
Een Griekse onderzoeker heeft een tool ontwikkeld waarmee hij de wachtwoorden van wifi-netwerken probeert te stelen. "Het is een social engineering-aanval die in tegenstelling tot andere methodes geen brute forcing gebruikt. Het is een eenvoudige manier om WPA-wachtwoorden te bemachtigen", aldus George Chatzisofroniou over zijn tool "Wifiphisher".
De aanval die Wifiphisher uitvoert bestaat uit verschillende stappen. Bij de eerste stap wordt de verbinding tussen de gebruiker en zijn wifi-netwerk verbroken. Wifiphisher blijft hierbij alle wifi-apparaten in de buurt van het access point blokkeren. Vervolgens kopieert Wifiphisher de instellingen van het aangevallen access point en zet een vals access point op waarmee het slachtoffer verbinding maakt.
Tijdens de laatste stap krijgt het slachtoffer een volgens Chatzisofroniou overtuigende configuratiepagina van de router te zien. Deze pagina wordt getoond zodra het slachtoffer een website op internet opvraagt. Op de valse configuratiepagina wordt vanwege een zogenaamde firmware-upgrade het WPA-wachtwoord gevraagd. Om Wifiphisher te gebruiken zijn Kali-Linux en twee wifi-kaarten nodig, waarvan er één injection kan doen.
Op Hacker News en Reddit is er ook kritiek op de tool, omdat het niet mogelijk zou zijn om zonder wachtwoord een vals access point op te zetten. "De tool maakt eigenlijk een tweede onversleuteld netwerk aan. Op Windows verschijnt er een waarschuwing dat de configuratie van het netwerk is veranderd. Op Android moet je handmatig met het onversleutelde netwerk verbinding maken. Deze methode voert dus geen automatische man-in-the-middle uit", aldus één van de critici.
In https://www.youtube.com/watch?v=LwEjYL6Eoro, op ruim 80% van de tijd van het filmpje, wordt een fake Linksys/Cisco scherm getoond waarbij de gebruiker wordt gevraagd om, op een evil twin access point, het wachtwoord van het vertrouwde access point in te voeren.
- Je WIFI verbinding wachtwoord geef je toch op in een netwerk acces scherm van je computer zelf en niet in een browser window?
- Inloggen op je Router doe je toch niet via WIFI?
- Het Router wachtwoord is toch niet hetzelfde wachtwoord als je WIFI acces wachtwoord?
- Routers configureren doe je toch alleen via het ethernet kabeltje?
Aanpak logisch?
- Een Router inlogscherm is vrij uitzonderlijk en schrikt toch af?
- Belangrijkste vraag: Wat moet je eigenlijk met een WIFI wachtwoord als je in veel gevallen via een MITM al voorbijkomend http verkeer zou kunnen afvangen omdat lang niet alle https websites HSTS hebben geïmplementeerd / afdwingen?
Of zie ik dit allemaal verkeerd? Praat mij eens bij dan svp.
je belt een computer guys op en je leest op dat je wpa moet invullen.
Gok dat eerste wat hij adviseert is je wpa key achter op je router te zoeken. :)
- Je WIFI verbinding wachtwoord geef je toch op in een netwerk acces scherm van je computer zelf en niet in een browser window?
- Inloggen op je Router doe je toch niet via WIFI?
- Het Router wachtwoord is toch niet hetzelfde wachtwoord als je WIFI acces wachtwoord?
- Routers configureren doe je toch alleen via het ethernet kabeltje?
Aanpak logisch?
- Een Router inlogscherm is vrij uitzonderlijk en schrikt toch af?
- Belangrijkste vraag: Wat moet je eigenlijk met een WIFI wachtwoord als je in veel gevallen via een MITM al voorbijkomend http verkeer zou kunnen afvangen omdat lang niet alle https websites HSTS hebben geïmplementeerd / afdwingen?
Of zie ik dit allemaal verkeerd? Praat mij eens bij dan svp.
Klopt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.