PWNED AN BORD
Wir sind bekannt für die Technologie, die wir pflegen...
Bei F5 Networks bin ich von Technologiebegeisterten umgeben – wenn ich zufällig eine Diskussion am Arbeitsplatz mitbekam, hörte ich meistens „Apps … intelligenter … schneller … sicherer“ .
In solcher Gesellschaft ernte ich manchmal skeptische Blicke, wenn ich erwähne, dass auch geschulte und erfahrene Augen immer noch Opfer von Malware werden können. Herausforderung angenommen – entwickeln Sie einen Plan, um zu beweisen, dass unser Wunsch, mit einem dummen, intelligenten Gerät ständig verbunden zu bleiben, uns zu einer leichten Beute macht.
Aktionsplan
Wenden Sie den ältesten Trick der Welt an: Greifen Sie an, wenn der Gegner am verwundbarsten ist. Heutzutage lässt sich diese Aufgabe ganz einfach dadurch erledigen, dass man der Person den Internetzugang entzieht. Wenn das Reisen ein wesentlicher Bestandteil Ihrer Arbeit ist, stellen Sie fest, dass Sie viel häufiger in diese gefährdete Position geraten, als Ihnen lieb ist.
Ich suchte mir also ein Ziel und einen Kollegen zur Hilfe aus. Nach kurzer Erkundung stellte sich heraus, dass wir uns in einem Flughafen wiederfinden würden, wo es kein Internet gab (kostenlos oder anderweitig).
Wir ließen uns von Sun Tzus Kriegskunst inspirieren, erreichten das Schlachtfeld rechtzeitig und hatten alles vorbereitet: ungehindertes KOSTENLOSES WLAN.
Glücklicherweise läuft das Ziel zusammen mit einigen Fremden direkt in die Falle. Mit dem KOSTENLOSEN WLAN verbunden, Geschäftsbedingungen akzeptiert, Programm für unbezahlbares Internet installiert.
Daher habe ich mir für diesen Tag vorgenommen, einige der anderen Optionen zu analysieren. Kostenloses WLAN gibt es überall, im Einkaufszentrum, im Restaurant usw. Ein wirklich fruchtbarer Boden für die Beschaffung vertraulicher Informationen wäre jedoch das Flugzeug selbst. Folgendes ist mir als Angriffsvektor eingefallen:
WLAN an Bord
Viele Fluggesellschaften bieten an Bord WLAN für Medien (Filme/Lieder usw.) und das Internet an. Dies erfordert normalerweise zwei einfache Schritte (die Vorgehensweise kann bei verschiedenen Fluggesellschaften unterschiedlich sein)
Schritt 1: Verbinden Sie sich mit kostenlosem WLAN
Schritt 2: Installieren Sie eine Application zum Streamen von Filmen usw.
Schritt 3: (Optional) Bezahlen und Premium-Inhalte kaufen
Alles, was für diesen Hack nötig ist, ist eine Person mit böswilligen Absichten, ein Laptop und ein paar Softwareprogramme, um Schaden anzurichten. Also zog ich mir einen Kapuzenpulli an und entwarf den Angriffspfad.
- Richten Sie einen WLAN-Zugangspunkt mit einem Namen ein, der die Leute anzieht (AIRLINENAME_MEMBERSHIP_BETA_FREE_INTERNET). Der Name würde zu anderen WLAN-Zugangspunkten der Fluggesellschaften passen.
- Der Zugriffspunkt erfordert, dass sich der Benutzer mit seinen Vielflieger-Mitgliedsdaten authentifiziert.
- Um den Angriff effektiver zu machen, kann der Zugriffspunkt den Benutzer auffordern, eine Software zu installieren. Über diesen Angriffsvektor können Benutzer leicht Opfer von Phishing werden und so Schadsoftware auf Android-Geräte laden.
- Es wird die Fehlermeldung angezeigt, dass der BETA High Speed WiFi Access Point sein Benutzerlimit erreicht hat. Bitte versuchen Sie es mit einem anderen Access Point.
Fang des Tages : Vielflieger-Anmeldedaten, Kreditkartennummern und potenziell kompromittierte Endpunkte kurbeln die Bot-Wirtschaft an
Moral der Geschichte
Der Tweet, den Sie machen möchten, das unglaubliche Selfie, das Sie für Instagram brauchen, oder die wichtige geschäftliche E-Mail, die Sie versenden möchten – all das kann warten. Bewerten Sie den kostenlosen WLAN-Zugangspunkt, mit dem Sie sich verbinden möchten.
Überlegen Sie gut, bevor Sie irgendwelche Zugangsdaten preisgeben, denn Cyberkriminelle haben es nicht nur auf Ihre Finanzdaten abgesehen. Denken Sie daran, dass Ihre Vielfliegermeilen in Amazon-Guthaben umgewandelt werden können.
Denken Sie daran, auf der Hut zu sein und installieren Sie keine Software, indem Sie die Standardpraxis umgehen. Durch das Sideloading einer App gehen Sie ein hohes Risiko ein.