MikroTik mAP Lite – łowca loginów – WYNIKI
Poniższy artykuł stanowi rozwinięcie artykułu dotyczącego wykorzystania MikroTika jako “łowcy” loginów oraz haseł MikroTik mAP Lite – phishing – łowca loginów.
Chciałbym podzielić się z Wami wynikami eksperymentu o którym była mowa w jednym z poprzednich artykułów. Ze względu na brak wolnego czasu oraz niewielki nakład finansowy jestem zaskoczony jak wiele osób połknęło haczyk i (mam nadzieję) wyciągnęło z tej lekcji jakąś nauczkę. W realizacji tego planu pomogło mi sporo osób umiejscawiając podstępne MikroTiki w różnych miejscach użyteczności publicznej, za co – wielkie dzięki.
Po zebraniu wszystkich logów w całość oraz ich przeparsowaniu nie dowierzałem wynikom, które zaczęły pojawiać się na ekranie, chociaż kilka wydarzeń, które zostały ‘uświetnione’ moim eksperymentem dały mi obraz całości. Mimo wszystko – kosztowało mnie to trochę pracy, byłem zmuszony niejednokrotnie w pośpiechu tworzyć wiarygodne strony logowania związane z wydarzeniami odbywającymi się chociażby w miejscu mojej pracy. Jednym z ciekawszych miejsc, gdzie umiejscowiłem moje urządzenie był stand reklamowy pewnej instytucji zajmującej się pozyskiwaniem energii ze źródeł odnawialnych. MikroTik mAP Lite posiada od spodu magnes, którym przymocowałem całość do stalowego stelażu. Po godzinie zszedłem do holu i ku mojemu zdziwieniu – stand reklamowy zniknął. Przenieśli go do sali w której odbywała się konferencja i umiejscowili tuż obok ekranu rzutnika. Zweryfikowałem agendę wydarzenia, odczekałem 10 minut jedząc obiad w pobliskiej kantynie i podczas przerwy wtargnąłem do sali i zabrałem urządzenie, aby przypadkowo go nie stracić. Trochę rzucałem się w oczy przemykając w t-shircie z logo Half-Life pomiędzy nowiutkimi garniturami, ale nikt o nic nie zapytał…
Zacznijmy od danych związanych z zasięgiem moich działań. Nadmienię, że urządzenia pracowały w 4 województwach, dwóch krajach. Test trwał ok. 5 miesięcy.
Miejsca, w których lokowane były moje urządzenia.
Skuteczność z wiadomych przyczyn największa była na konferencjach, gdyż zdarzało się, że sygnał komórkowy ginął bezpowrotnie w salach zlokalizowanych na kondygnacjach poniżej parteru. Obecnie praktycznie każdy z nas posiada pakiet danych mobilnych, więc darmowy hotspot wydaje się niezbyt kuszący, ale wyniki mówią zupełnie co innego. Na drugim miejscu oczywiście – centra handlowe. Tabuny młodzieży, która niezwykle chętnie i nieświadomie partycypowała w moim projekcie. Z ciekawostek nadmienię, że co bardziej ‘natarczywi’ klienci mojego hotspota potrafili wielokrotnie ponawiać próby logowania się na swoje konta pomimo (!) iż na ich urządzeniach mobilnych wyświetlił się komunikat o potencjalnej utraty danych. Mistrz/mistrzyni próbowała się logować dziewięciokrotnie do swoich kont na portalach społecznościowych, aby tylko uzyskać dostęp do sieci. Trochę to zabawne i niepokojące jednocześnie.
Niestety, tego typu zachowania nie były odosobnione. Nie podliczyłem ile osób dokonało takich zachowań, ale na tle całości osób, szacuję, że stanowiły one ok. 10%. Oto wykres pokazujący do jakich zawartości w sieci próbowały dostawać się osoby nie zważając na ogniście-czerwoną planszę z ostrzeżeniem. Brrr…
Treści jakie próbowali otwierać użytkownicy pomimo komunikatu.
Tylko ze względu na swoją ciekawość zestawiłem ze sobą dane prezentujące najczęściej wykorzystywane do połączenia się z siecią bezprzewodowe urządzenia. Ten wykres obejmuje wszystkich klientów hotspota, którzy nawiązali z nim połączenie, a nie tylko osoby, które uległy pokusie i podzieliły się swoimi danymi do logowania. Kolejna ciekawostka – zdarzały się urządzenia z podmienionym adresem MAC (be:ef:be:ef:be:ef itp..) i sporo osób po podłączeniu wpisywała bzdury (testowo) jako login i hasło, gdyż pewnie zdawały sobie sprawę z niebezpieczeństwa. Na moje MikroTiki dokonano 3 ataków siłowych brute-force na usługę SSH 🙂 Miałem sporo zabawy przeglądając z nich logi, gdyż poniekąd opowiadało to fajną historię (nawiązanie połączenia -> fałszywe dane -> brute force).
Producenci sprzętu, których urządzenia łączyły się najczęściej.
Czas na podsumowanie. Jak widzicie na poniższym wykresie – ok. 16% ludzi dobrowolnie podało swoje dane (login i hasło) korzystając z nieznanego im połączenia. Ponadto połączenia nie były szyfrowane.
Wynik eksperymentu. Rezultat miażdżący. 16% – pozostawię to bez komentarza.
Na sam koniec kilka kolejnych ciekawostek. Pojawiały się w logach adresy e-mail, numery telefonów oraz przeróżne wyzwiska :). Dodatkowo, czerwona plansza, która pojawiała się osobom próbującym się logować zawierała adres e-mail pozwalający osobie, która stała się ‘częścią’ eksperymentu skontaktować się ze mną. Maili nie było dużo. Odebrałem dwa maile z pogróżkami, jeden grożący mi rozprawą sądową, pięć podziękowań i… jedno nazwijmy to ‘zgłoszenie’, które w treści zawierało narzekania, że po połączeniu się z tym hotspotem i podaniem prawidłowych danych do logowania nie działa internet [!].
Wklejcie link do tego artykułu swoim znajomym, może pomoże to co niektórym osobom otworzyć oczy, prawidłowo zareagować w takiej sytuacji i oszczędzić sobie nieprzyjemności.
