Una rete Wi-Fi falsa che sembra identica a quella vera. Ti connetti pensando di essere al sicuro, e intanto qualcuno legge le tue email.
Un evil twine un attacco semplice quanto efficace. L'attaccante crea un hotspot Wi-Fi con lo stesso nome di una rete legittima. Pensa all'hotel dove vai per lavoro, all'aeroporto prima del volo, al coworking dove ti fermi per una call.
Il tuo portatile o telefono si connette automaticamente alla rete con il segnale piu forte. E quella dell'attaccante e sempre piu forte, perche e a pochi metri da te. Da quel momento, tutto il tuo traffico passa attraverso il suo dispositivo.
Email, password, allegati. Se la connessione non e cifrata, l'attaccante vede tutto in chiaro. E il bello? Tu non ti accorgi di nulla. La navigazione funziona normalmente. Semplicemente, c'e qualcuno seduto in mezzo che legge ogni pacchetto.
L'evil twin segue uno schema classico di man-in-the-middle. Ecco le fasi:
L'attaccante configura un hotspot portatile (basta un laptop o anche un telefono) con lo stesso SSID della rete legittima. "Hotel_WiFi_Free", "Aeroporto_Milano", "CoworkingSpace" — qualunque nome riconoscibile. Amplifica il segnale per risultare la rete piu' forte disponibile.
Il tuo dispositivo si connette automaticamente. Molti smartphone e portatili sono configurati per ricollegarsi alle reti conosciute senza chiedere conferma. Se hai gia' usato quella rete, il tuo device si connette da solo.
Tutto il traffico passa attraverso il dispositivo dell'attaccante. Se il client email usa IMAP o SMTP senza TLS (cosa ancora comune con configurazioni vecchie), le credenziali viaggiano in chiaro. L'attaccante le cattura con un semplice sniffer di rete.
L'attaccante ottiene le credenziali email oppure ruba i cookie di sessione della webmail. Con i cookie, puo' accedere alla casella senza nemmeno conoscere la password. E' un account takeover istantaneo.
L'email e il bersaglio perfetto per un evil twin. Ecco perche:
Molti client email aziendali usano ancora configurazioni vecchie con porte non cifrate (porta 143 per IMAP, 25 per SMTP). Le credenziali viaggiano in chiaro sulla rete. Un attaccante le legge come un libro aperto.
Accedi alla webmail tramite Wi-Fi compromessa? L'attaccante puo rubare il cookie di sessione e accedere alla tua casella da un altro browser. Senza bisogno di password.
L'app email del telefono sincronizza ogni pochi minuti. Se ti connetti a un evil twin, l'app invia subito le credenziali per controllare nuove email. L'attaccante non deve nemmeno aspettare.
Contratti, fatture, dati personali. Se scarichi un allegato su una rete compromessa senza cifratura end-to-end, l'attaccante ottiene una copia identica del file.
La buona notizia? Difendersi da un evil twin e possibile. Serve una combinazione di buone abitudini e configurazioni corrette:
Approfondisci il tema dell'autenticazione multi-fattore e scopri come TLS protegge le tue comunicazioni email.
MailSniper non puo impedire a qualcuno di creare una rete Wi-Fi falsa. Ma puo rendere inutile l'intercettazione del traffico email:
MailSniper forza la cifratura TLS su tutte le connessioni email. Anche se il traffico viene intercettato, l'attaccante vede solo dati cifrati. Niente credenziali in chiaro, niente allegati leggibili.
Se le credenziali vengono comunque rubate (magari tramite una pagina di phishing mostrata sull'evil twin), MailSniper rileva gli accessi da posizioni e dispositivi insoliti.
Gli evil twin spesso reindirizzano a pagine di phishing ("Inserisci le credenziali per accedere al Wi-Fi"). MailSniper blocca le email che contengono link a queste pagine fraudolente.
Se le credenziali intercettate vengono usate per un attacco di credential stuffing su altri servizi, MailSniper rileva e blocca i tentativi di accesso automatizzati.
La categoria di attacco a cui appartiene l'evil twin: qualcuno si mette in mezzo alle tue comunicazioni.
Il protocollo di cifratura che rende inutile l'intercettazione del traffico email.
Cosa succede dopo: le credenziali rubate vengono provate su centinaia di altri servizi.