Un Australien a été inculpé par la Police fédérale australienne (AFP) pour avoir prétendument mené une attaque WiFi « Un Australien inculpé pour l’attaque WiFi d’un « Evil Twin » dans un avion » sur divers vols intérieurs et aéroports à Perth, Melbourne et Adélaïde pour voler les e-mails ou les identifiants des réseaux sociaux d’autres personnes.
La police a commencé à enquêter sur les rapports des employés de la compagnie aérienne en avril 2024 et a trouvé des preuves que l’homme effectuait des activités malveillantes après avoir examiné ses appareils saisis à l’aéroport.
Attaque WiFi Jumelle maléfique
Un réseau WiFi jumeau maléfique est un point d’accès sans fil malveillant/faux qui utilise le même SSID (nom du réseau WiFi) que celui d’un réseau légitime ou attendu dans une zone spécifique. Par exemple, de nombreux vols offrent le WiFi en vol, obligeant les passagers à se connecter d’abord au réseau WiFi de la compagnie aérienne.
Lorsqu’un cybercriminel mène une attaque jumelle maléfique, il met en place un réseau WiFi sous son propre contrôle qui utilise le même nom que celui promu par la compagnie aérienne.
Cependant, les utilisateurs qui tentent de se connecter aux points d’accès malveillants sont dirigés vers une fausse page de connexion ou une page Web de portail captif, leur demandant de se connecter à l’aide d’adresses e-mail, de mots de passe ou d’autres informations d’identification.
Dans le cas de l’Australien arrêté par l’AFP, l’agence affirme qu’il a utilisé un appareil portable pour créer des points d’accès WiFi gratuits à plusieurs endroits, les obligeant à se connecter en utilisant leur messagerie électronique ou leurs comptes de médias sociaux.
L’homme a collecté ces informations, qui pourraient ensuite être utilisées pour accéder à des données plus sensibles, détourner des comptes de médias sociaux, extorquer des victimes ou les vendre à d’autres cybercriminels.
« Les enquêteurs de la cybercriminalité de l’AFP auraient identifié des données relatives à l’utilisation des pages WiFi frauduleuses dans les aéroports de Perth, Melbourne et Adélaïde, sur des vols intérieurs et à des endroits liés à l’emploi précédent de l’homme », explique l’AFP.
L’enquête sur l’activité post-exploitation et l’étendue de l’exploitation de l’homme est toujours en cours.
Les accusations criminelles auxquelles le suspect est confronté sont:
- Entrave non autorisée à la communication électronique, passible d’une peine maximale de 10 ans de prison.
- Possession du contrôle des données avec l’intention de commettre une infraction grave, passible d’une peine maximale de 3 ans de prison.
- Accès non autorisé ou modification de données restreintes, passible d’une peine maximale de 2 ans de prison.
- Obtenir ou traiter malhonnêtement des informations financières personnelles, passible d’une peine maximale de 5 ans de prison.
- Possession d’informations d’identification dans l’intention de commettre une infraction, passible d’une peine maximale de 3 ans de prison.
Des points d’accès WiFi malveillants ou peu fiables sont toujours possibles dans les espaces publics, donc les personnes qui ont besoin de les utiliser doivent faire attention à ne pas partager leurs autres identifiants de connexion lorsqu’elles tentent de les utiliser.
Il est également conseillé de désactiver le partage de fichiers sur les réseaux WiFi non fiables et d’utiliser un VPN pour crypter le trafic Internet et empêcher la capture d’informations sensibles.
Pas une attaque commune
Bien qu’il ne soit pas rare que des acteurs de la menace mènent ce type d’attaques WiFi, le chercheur en cybersécurité Daniel Card prévient que les attaques de jumeaux maléfiques ne sont pas quelque chose dont la plupart des gens doivent s’inquiéter.
« Ce genre d’attaque est tout à fait possible, comme nous le faisons dans les laboratoires et dans le cadre des tests/formations de sécurité, mais c’est rarement vu dans la nature », a déclaré Card à Breachtrace.
« C’est du phishing de proximité. De tous les incidents auxquels moi et mes amis sommes confrontés, je n’ai jamais vu ou entendu parler de cela dans la nature autrement que lorsqu’il est utilisé par GRU (ou lors de conférences de hackers comme démo/blague/ctf). En dehors de GRU (qui s’est également fait prendre), je n’ai entendu parler que d’un seul autre cas. »
Le chercheur fait référence aux inculpations de 2018 de pirates informatiques du GRU parrainés par l’État russe qui ont mené des attaques jumelles diaboliques pour surveiller le trafic Internet des cibles.
Card dit qu’il est irréaliste de dire aux gens de ne pas utiliser le WiFi, car la nécessité de rester en ligne, en particulier lors de longs trajets, est devenue cruciale pour les employés et les étudiants.
Au lieu de cela, Card dit que les noms d’utilisateur et les mots de passe sont des mécanismes d’authentification défectueux, c’est pourquoi l’AMF et des normes de sécurité robustes sont nécessaires pour protéger nos comptes.