Un Australien a été inculpé par la police fédérale australienne (AFP) pour avoir prétendument mené une attaque WiFi de type « jumeau maléfique » sur divers vols intérieurs et aéroports à Perth, Melbourne et Adélaïde afin de voler les e-mails ou les informations d'identification des réseaux sociaux d'autres personnes.
La police a commencé à enquêter sur les rapports des employés de la compagnie aérienne en avril 2024 et a trouvé des preuves que l'homme se livrait à des activités malveillantes après avoir examiné ses appareils saisis à l'aéroport.
Attaque WiFi Twin Twin
Un réseau WiFi double maléfique est un point d'accès sans fil malveillant/faux qui utilise le même SSID (nom de réseau WiFi) que celui d'un réseau légitime ou attendu dans une zone spécifique. Par exemple, de nombreux vols proposent le WiFi à bord, obligeant les passagers à se connecter d'abord au réseau WiFi de la compagnie aérienne.
Lorsqu’un cybercriminel mène une attaque jumelle maléfique, il met en place un réseau WiFi sous son propre contrôle qui utilise le même nom que celui promu par la compagnie aérienne.
Cependant, les utilisateurs qui tentent de se connecter aux points d’accès malveillants sont dirigés vers une fausse page de connexion ou une page Web de portail captif, leur demandant de se connecter à l’aide d’adresses e-mail, de mots de passe ou d’autres informations d’identification.
Dans le cas de l'Australien arrêté par l'AFP, l'agence affirme qu'il a utilisé un appareil portable pour créer des points d'accès WiFi gratuits à plusieurs endroits, les obligeant à se connecter en utilisant leur messagerie électronique ou leurs comptes de réseaux sociaux.
L'homme a collecté ces informations, qui pourraient ensuite être utilisées pour accéder à des données plus sensibles, détourner des comptes de réseaux sociaux, extorquer des victimes ou les vendre à d'autres cybercriminels.
« Les enquêteurs de l'AFP spécialisés dans la cybercriminalité auraient identifié des données relatives à l'utilisation de pages WiFi frauduleuses dans les aéroports de Perth, Melbourne et Adélaïde, sur des vols intérieurs et dans des lieux liés à l'emploi précédent de l'homme », explique le communiqué. AFP.
L'enquête sur l'activité post-exploitation et l'étendue de l'opération de l'homme est toujours en cours.
Les accusations criminelles auxquelles le suspect fait face sont les suivantes :
- Dégradation non autorisée des communications électroniques, passible d'une peine maximale de 10 ans de prison.
- Détention de contrôle de données dans l'intention de commettre un délit grave, passible d'une peine maximale de 3 ans de prison.
- L'accès ou la modification non autorisés de données restreintes, encourent une peine maximale de 2 ans de prison.
- L'obtention ou le traitement malhonnête d'informations financières personnelles encourt une peine maximale de 5 ans de prison.
- Détention d'informations d'identification dans l'intention de commettre une infraction, passible d'une peine maximale de 3 ans de prison.
Des points d'accès Wi-Fi malveillants ou peu fiables sont toujours possibles dans les espaces publics. Les personnes qui doivent les utiliser doivent donc faire attention à ne pas partager leurs autres identifiants de connexion lorsqu'elles tentent de les utiliser.
Il est également conseillé de désactiver le partage de fichiers sur les réseaux WiFi non fiables et d'utiliser un VPN pour crypter le trafic Internet et empêcher la capture d'informations sensibles.
Ce n'est pas une attaque courante
Bien qu'il ne soit pas rare que des acteurs malveillants mènent ce type d'attaques WiFi, un chercheur en cybersécurité Daniel Card prévient que les attaques de jumeaux maléfiques ne sont pas quelque chose dont la plupart des gens doivent s'inquiéter.
« Ce type d'attaque est tout à fait possible, car nous le faisons dans des laboratoires et dans le cadre de tests/formations de sécurité, mais il est rarement vu dans la nature », a déclaré Card à BleepingComputer.
« Il s'agit de phishing de proximité. Parmi tous les incidents auxquels moi-même et mes amis sommes confrontés, je n'ai jamais vu ou entendu parler de cela dans la nature, sauf lorsqu'il est utilisé par le GRU (ou lors de conférences de hackers comme démonstration/blague/ctf). En dehors de GRU (qui s'est également fait arrêter), je n'ai entendu parler que d'un seul autre cas. »
Le chercheur fait référence au 2018 inculpations des pirates informatiques du GRU parrainés par l'État russe qui a mené des attaques jumelles maléfiques pour surveiller le trafic Internet des cibles.
Card affirme qu'il est irréaliste de dire aux gens de ne pas utiliser le WiFi, car la nécessité de rester en ligne, notamment lors de longs voyages, est devenue cruciale pour les employés et les étudiants.
Au lieu de cela, Card affirme que les noms d'utilisateur et les mots de passe sont des mécanismes d'authentification défectueux, c'est pourquoi l'authentification multifacteur et des normes de sécurité robustes sont nécessaires pour protéger nos comptes.