Naast woordenboek- en WPS-aanvallen bevat airgeddon ook een aantal Evil Twin-aanvallen in zijn repertoire. Deze omvatten social-engineering- en phishingaanvallen die door middel van technische trucs proberen gebruikers te verleiden om verbinding te maken met een accesspoint dat wordt gecontroleerd door de aanvaller en zich voordoet als een vertrouwd accesspoint. Ook bij deze methode worden cliënten uit het doelwifi gegooid (deauthenticatie). Het is niet onwaarschijnlijk dat een nietsvermoedende gebruiker vervolgens verbinding maakt met de Evil Twin.
Hoe werkt een Evil Twin-aanval?
Het menu Evil Twin Attacks biedt verschillende versies van deze aanval. Activeer eerst de monitormodus volgens het bekende patroon. Met de optie ‘Evil Twin AP attack with captive portal’ draait het opnieuw om het buitmaken van het wifiwachtwoord. Hiervoor wordt een zogenaamde captive portal aan de gebruiker gepresenteerd die in de val is gelopen. Dit is een inlogformulier, vergelijkbaar met wat vaak in hotels en treinen wordt gebruikt, maar hier wordt het gebruikt om het wachtwoord te bemachtigen. Een captive portal opent meestal automatisch zodra de verbinding met het netwerk tot stand is gebracht.

Airgeddon phisht bij Evil Twin-attacks met een captive portal naar wifiwachtwoorden.
Hoe voer je de aanval uit?
Aan het begin van de aanval moet je je doelwifi selecteren en vervolgens een deauthenticatieaanval uitvoeren. In ons geval werkte de tweede optie, ‘deauth aireplay attack’, goed. Het script vraagt vervolgens of je de ‘DoS pursuit mode’ wilt activeren, wat je kunt weigeren. Dit is handig als een accesspoint in channel-hopping-modus draait, wat betekent dat het vaak van wifikanaal wisselt, maar dit vereist een extra wifistick met monitormodus, die het volgen op zich neemt. Je hoeft je MAC-adres niet te verbergen als het script erom vraagt.
Slimmer dan je denkt
De Evil Twin met captive portal kan een eerder buitgemaakt en nog niet ontsleuteld handshakebestand gebruiken om te controleren of het ingevoerde wachtwoord correct is. Als het slachtoffer een onjuist wachtwoord invoert, zal de portal daarover klagen. Voer daarvoor het pad naar een handshake-bestand in. Bij de volgende stap selecteer je de taal voor de captive portal. Je kunt ook bepalen of je een generieke portal wilt gebruiken of dat airgeddon de BSSID van het aangevallen accesspoint moet analyseren om de portal van de gedetecteerde routerfabrikant na te maken.
Voltooien van de aanval
Wanneer je de aanval start, opent airgeddon onderin de terminal verschillende tabbladen met logs van de tools die het script automatisch voor je heeft gestart. Je kunt vooruit bladeren tussen de tabbladen met Ctrl+B en dan N, en achteruit met Ctrl+B en dan P. Dit zijn bijvoorbeeld hostapd, dat zorgt voor het accesspoint, de DHCP-server dhcpd en de webserver lighttpd voor de captive portal. Als airgeddon meldt dat het juiste wachtwoord naar je netwerk is gestuurd, beëindig je de aanval in het hoofdmenu door op Enter te drukken.
Andere Evil Twin-aanvallen
Bij de andere Evil Twin-aanvallen gaat het meer om het bespioneren en onderscheppen van het verkeer van het slachtoffer. Selecteer hiervoor in het menu ‘Evil Twin AP attack with sniffing and bettercap-sslstrip2’. De werkwijze is vergelijkbaar met die van de andere aanvallen, maar er is een netwerkinterface met internettoegang nodig, zodat het slachtoffer het internet op kan, bijvoorbeeld eth0 of wlan0 op de Pi. Ook bij deze aanval opent airgeddon een reeks tabbladen, waar je doorheen kunt schakelen. Daar zie je bijvoorbeeld welke pagina’s worden opgeroepen. Wanneer het slachtoffer toegangsgegevens invoert op websites die niet met TLS zijn versleuteld, onderschept airgeddon ze. Bij deze aanvallen wordt ook sslstrip2 gebruikt om HTTPS-verzoeken om te leiden naar HTTP, maar de meeste browsers en clients zijn daar inmiddels immuun voor.
Waakzaamheid in openbare netwerken
Hackers bieden kwaadaardige accesspoints vaak aan op plaatsen zoals cafés waar gebruikers gewend zijn aan een open netwerk. Hopelijk is inmiddels algemeen bekend dat openbare netwerken niet te vertrouwen zijn, maar airgeddon laat zien dat ook gesloten netwerken kwetsbaar zijn voor dergelijke aanvallen. Als je in je netwerkmanager twee accesspoints tegenkomt met dezelfde SSID, waarvan er één geen wachtwoord nodig heeft, ben je waarschijnlijk getuige van een Evil Twin-aanval.
