Sikkerhet

«Evil Twin»-angrep – en trussel mot sikkerheten i trådløse nettverk

For de fleste virksomheter i dag er trådløse nettverk en del av IT-infrastrukturen. Medarbeidere, kunder og samarbeidspartnere er avhengige av pålitelig Wi-Fi-tilgang for å kunne utføre sine oppgaver effektivt. Men med økt bruk av Wi-Fi breddes også flaten for sikkerhetstrusler. Et lumskt angrep virksomheter bør kjenne til, er «Evil Twin»-angrep.

«Evil Twin»-angrep  - To personer jobber på bærbare datamaskiner

Denne saken vil forklare hva et «Evil Twin»-angrep er, hvordan det fungerer, og hvorfor det er smart for virksomheter å forstå og beskytte seg mot denne typen angrep.

Hva er et «Evil Twin»-angrep?

Ond tvilling-angrep er en type nettverksangrep der en ondsinnet aktør setter opp et falskt trådløst tilgangspunkt (AP) som etterligner et legitimt Wi-Fi-nettverk. Formålet er å lure brukere til å koble seg til det falske nettverket, slik at angriperen kan avlytte trafikken, stjele sensitive data, eller utføre andre ondsinnede handlinger.

Hvordan fungerer et «Evil Twin»-angrep?

  1. Oppsett av falskt tilgangspunkt:
    Angriperen setter opp et trådløst tilgangspunkt som har samme SSID (nettverksnavn) som et legitimt nettverk. Dette falske tilgangspunktet kan ha sterkere signalstyrke enn det ekte, noe som gjør det mer sannsynlig at brukere kobler seg til det.

  2. Lurer brukere til å koble seg til:
    Når brukere søker etter tilgjengelige Wi-Fi-nettverk, kan de bli forvirret av de identiske nettverksnavnene og ved et uhell koble seg til det falske tilgangspunktet. Noen ganger kan angriperen også bruke teknikker som deauthentication-angrep* for å tvinge brukere til å koble fra det ekte nettverket og deretter automatisk koble til det falske.

  3. Avlytting og datatyveri:
    Når brukeren er tilkoblet det falske tilgangspunktet, kan angriperen overvåke all nettverkstrafikk. Dette inkluderer ukrypterte passord, personlig informasjon, og andre sensitive data.

* Deauthentication-angrep

Et deauthentication-angrep tvinger en enhet til å koble fra et Wi-Fi-nettverk ved å sende falske deauthentication-rammer. Angriperen overvåker nettverket, identifiserer tilkoblede enheter, og sender de falske rammene som ser ut til å komme fra tilgangspunktet. Dette får enheten til å koble fra, og i forsøk på å koble til igjen, kan enheten bli lurt til å koble seg til et falskt tilgangspunkt (Evil Twin). Moderne sikkerhetsprotokoller som WPA3 kan bidra til å beskytte mot slike angrep.

Eksempel på et angrep

En ansatt bestemmer seg for å jobbe fra en lokal kafé. Når hen har satt seg ned med kaffen sin, kobler hen seg til det offentlige Wi-Fi-nettverket. Hen har koblet seg til dette nettet tidligere uten problemer, så hen har ingen grunn til å være mistenksom. Denne gangen har imidlertid en hacker satt opp et «Evil Twin»-nettverk med nøyaktig samme SSID-navn. Fordi de sitter i nærheten av det uvitende målet, har det falske nettverket deres et sterkere signal enn kaféens virkelige nettverk. Som et resultat kobler målet seg til det, selv om det er oppført som «usikret.»

Når tilkoblingen er opprettet, logger målet seg inn på bedriftens systemer for å sjekke e-post og få tilgang til sensitive dokumenter. Fordi den ansatte ikke bruker PC-ens innebygde 4G/5G-tilkobling, hvor de ville unngått bruk av usikre offentlige Wi-Fi-nettverk, gjør ond tvilling-nettverket det mulig for hackeren å få tilgang til konfidensiell bedriftsinformasjon. Offeret blir først klar over dette senere når bedriften oppdager at sensitiv informasjon har blitt lekket.

Konsekvenser av et «Evil Twin»-angrep

Et vellykket ondt tvilling-angrep kan føre til at sensitiv bedriftsinformasjon, kundedata og konfidensiell kommunikasjon blir avlyttet og stjålet, noe som kan resultere i økonomiske tap og juridiske konsekvenser hvis dataene blir misbrukt. I tillegg kan kompromittering av kundedata skade bedriftens omdømme, da kunder forventer at deres data håndteres med høyeste grad av sikkerhet. Brudd på denne tilliten kan føre til tap av kunder og inntekter.

Slik kan du beskytte virksomheten

For å beskytte virksomheten mot denne typen angrep, kan følgende sikkerhetstiltak implementeres:

Vårt beste råd - bruk av innebygd 4G/5G
Bruk innebygd 4G/5G med SIM i PC-er (laptop) fremfor å koble til fremmede Wi-Fi nettverk. Ved å benytte denne teknologien når ansatte trenger internettforbindelse utenfor kontoret, unngår man usikre offentlige Wi-Fi-nettverk og reduserer risikoen for deauthentication- og Evil Twin-angrep. Dette gir en tryggere, mer stabil tilkobling, og beskytter sensitive bedriftsdata på en effektiv måte.

Opplæring og økt bevissthet
Regelmessig sikkerhetsopplæring for ansatte er essensielt. Ansatte bør være klar over risikoen ved å koble seg til ukjente Wi-Fi-nettverk og hvordan de kan identifisere falske tilgangspunkter.

Sikkerhetsprotokoller og verktøy
Implementering av avanserte sikkerhetsprotokoller, som WPA3, kan bidra til å beskytte trådløse nettverk mot uautoriserte tilgangspunkter. I tillegg kan bruk av verktøy for nettverksovervåking oppdage og varsle om mistenkelige aktiviteter.

Bruk av multifaktorautentisering
Multifaktorautentisering krever to eller flere trinn for å logge inn på et system, som å kombinere et passord med en kode sendt til mobiltelefonen din. Dette ekstra laget av sikkerhet gjør det vanskeligere for hackere å få tilgang til informasjonen din. Når kontoer tilbyr multifaktorautentisering, bør det settes opp for å beskytte sensitive data bedre. 

Deaktiver automatisk tilkobling
Hvis automatisk tilkobling er aktivert på enheten din, vil den automatisk koble seg til alle nettverk du tidligere har brukt når de er innenfor rekkevidde. Dette kan være risikabelt på offentlige steder, spesielt hvis du tidligere har koblet deg til et «Evil Twin»-nettverk uten å vite det. For å øke sikkerheten, bør du deaktivere automatisk tilkobling når du er utenfor hjemmet eller kontoret. La heller enheten din be om tillatelse før den kobler seg til et nettverk, slik at du kan kontrollere og godkjenne eller avvise tilkoblingen. Dette bidrar til å hindre uautorisert tilgang.

Segmentering av Nettverk
Del opp det trådløse nettverket i ulike segmenter for gjester, ansatte, og kritiske systemer. Dette begrenser skadeomfanget hvis et angrep skulle lykkes.

Sikkerhetsvurderinger
Regelmessige sikkerhetsvurderinger og penetrasjonstester kan identifisere sårbarheter i nettverket som kan utnyttes av en angriper.

VPN-Bruk
Be de ansatte å bruke VPN når de er tilkoblet offentlige eller usikre Wi-Fi-nettverk, noe som krypterer dataoverføringen og beskytter mot avlytting. VPN (Virtual Private Network) kan faktisk hjelpe mot «Evil Twin»-angrep til en viss grad, men det er viktig å forstå begrensningene*. VPN krypterer all data som sendes mellom brukerens enhet og VPN-serveren, noe som beskytter mot avlytting og dataavskjæring. Hvis en bruker er koblet til et falskt tilgangspunkt, vil en VPN-løsning sørge for at dataene forblir krypterte, slik at angriperen ikke kan lese innholdet.

Men VPN kan ikke forhindre at brukeren kobler seg til det falske tilgangspunktet i utgangspunktet. Angriperen kan fortsatt overvåke og manipulere ukrypterte nettverksdata, som DNS-forespørsler før de når VPN-tunnelen.

* VPN-begrensninger

Her er noen spesifikke grunner til hvorfor VPN alene ikke er en fullstendig sikkerhetsløsning mot «Evil Twin»-angrep:

1. Falske portaler: angripere kan sette opp falske captive portals som lurer brukere til å oppgi legitimasjon eller annen informasjon før VPN-tilkoblingen etableres.

2. Manipulering av nettverkstrafikk: selv om dataene er krypterte, kan angripere fortsatt prøve å manipulere nettverkstrafikken for å blokkere VPN-tilkoblingen eller lure brukeren til å koble fra VPN.

3. Troverdighet: brukere kan bli villedet til å tro at de er på et trygt nettverk før de aktiverer VPN, noe som gjør dem sårbare for andre typer angrep eller informasjonsinnsamling før VPN aktiveres.

Derfor er det viktig å kombinere bruk av VPN med andre sikkerhetstiltak, som opplysning om farene ved å bruke offentlige Wi-Fi-nettverk, bruk av innebygd 4G/5G, og oppdatert sikkerhetsprogramvare, for å gi best mulig beskyttelse mot «Evil Twin»-angrep.

Forståelsen og beskyttelsen mot «Evil Twin»-angrep er avgjørende for å sikre virksomhetens informasjon og opprettholde tilliten blant kunder og ansatte. Ved å implementere robuste sikkerhetstiltak og fremme en kultur for sikkerhetsbevissthet, kan virksomheter minimere risikoen for slike angrep og beskytte sine verdifulle data. I dagens trusselmiljø er det ikke lenger et spørsmål om, men når et angrep vil skje. Å være proaktiv er derfor essensielt for å sikre virksomhetens fortsatte suksess og integritet.

Opplæring av ansatte vil være et smart sted å starte for å beskytte seg mot sikkerhetstrusler. Vi kan gjøre den jobben lettere for deg.

Tjenesten Oppdatert! sørger for effektiv opplæring innen datasikkerhet rett på mobilen.