オンボードでPWNED

当社は、維持している技術によって知られています... 

F5 Networks では、テクノロジーに熱心な人たちに囲まれています。職場での議論に偶然出くわすと、たいてい「アプリ…よりスマート…より高速…より安全」という言葉を耳にします。 

そういった人たちの中で、訓練された熟練の目でもマルウェアの餌食になることがある、と私が話すと、懐疑的な顔をされることがあります。 挑戦を受けます。愚かなスマートデバイスで常に接続したままでいたいという欲求が、私たちを簡単な餌食にしているということを証明する計画を立ててください。

行動計画

最も古典的なトリックを使って、相手が最も脆弱なときに攻撃します。 今日の状況では、インターネットへのアクセスを奪うことでその仕事は簡単に達成されます。 出張が仕事の不可欠な部分である場合、この脆弱な状況に陥る頻度が、望んでいるよりもはるかに高いことに気づきます。

そこで私はターゲットと協力する同僚をピックアップし、少し偵察したところ、私たちがインターネット（無料か否かに関わらず）のない空港に行くことになることが判明しました。

孫子の兵法に倣い、私たちは早めに戦場に到着し、妨げられることのない無料 WiFi を準備しました。

幸運なことに、ターゲットは数人の見知らぬ人とともに罠に陥りました。 無料 WiFi に接続し、利用規約に同意し、貴重なインターネットのためのプログラムをインストールします。

そこで私は、その日のうちに他の選択肢をいくつか分析することにしました。 ショッピングモール、レストランなど、あらゆる場所で無料 WiFi を利用できます。 しかし、機密資格情報を利用するための本当に肥沃な土壌は、飛行機そのものであるだろう。 私が攻撃ベクトルとして思いついたものは次のとおりです。

機内WiFi

多くの航空会社は、メディア（映画、音楽など）やインターネット用に機内で WiFi を提供しています。 これには通常、2つの簡単な手順が必要です（航空会社によって異なる場合があります）。

ステップ1: 無料WiFiに接続する

ステップ2: 映画などをストリーミングするためのapplicationをインストールします。

ステップ3: （オプション）プレミアムコンテンツを支払い購入する

このハッキングに必要なのは、悪意のある人物とラップトップ、そして損害を与えるためのいくつかのソフトウェアだけです。 そこでパーカーを着て、攻撃経路を設計しました。

1. 人々の興味を引く名前 (AIRLINENAME_MEMBERSHIP_BETA_FREE_INTERNET) で WiFi アクセス ポイントを設定します。 この名前は、航空会社が提供する他の WiFi アクセス ポイントと調和するでしょう。
2. アクセス ポイントでは、ユーザーがマイレージ メンバーシップの詳細を使用して認証する必要があります。
3. 攻撃をより効果的にするために、アクセス ポイントはユーザーにソフトウェアのインストールを要求することがあります。 この攻撃ベクトルにより、ユーザーは簡単にフィッシングされ、Android デバイスにマルウェアをサイドロードされる可能性があります。
4. BETA 高速 WiFi アクセス ポイントがユーザー数の制限に達したというエラー メッセージを表示します。他のアクセス ポイントを試してください。

本日の獲物: マイレージ会員の認証情報、クレジットカード番号、およびボット経済を活性化させる可能性のある侵害されたエンドポイント

物語の教訓

ツイートしたいことや、Instagram に投稿したい素晴らしい自撮り写真、送信したい重要な仕事のメールなど、すべては待つことができます。 接続する予定の無料 WiFi アクセス ポイントを評価します。

あらゆる種類の認証情報を提供する前によく考えてください。サイバー犯罪者が狙っているのは金融認証情報だけではありません。 マイレージは Amazon クレジットに変換できることを覚えておいてください。

常に警戒を怠らないようにしてください。標準的な手順を回避してソフトウェアをインストールしないでください。 アプリをサイドロードすると、大きなリスクが生じます。