Introduksjon

Forestill deg en person med skumle hensikter sittende på en kafé med en cappuccino. Hun later som om hun surfer på Internett, men det hun egentlig gjør, er å samle inn brukernavn og passord fra hennes medgjester.

Et usannsynlig scenario eller enkelt-å-sette-opp-system? Dessverre det siste, som vil bli drøftet nedenfor.

En fantastisk verden med Internettilgang overalt

Ettersom vi blir mer og mer knyttet til Internett er vi selvsagt mer avhengig av å kunne koble oss til nettet i enhver situasjon. For å imøtekomme dette behovet, er det satt opp trådløse soner på offentlige steder som flyplasser, restauranter, kaffebarer og kafeer. Disse aksesspunktene gir oss muligheten til å gjøre alle mulige oppgaver med bærbart utstyr, som en avansert mobiltelefon eller en bærbar datamaskin:

• Surfe på nyhetssider
• Utføre personlige banktransaksjoner
• Lese og skrive e-post
• Chatte med venner og kollegaer
• Logge inn på bedriftsnettverk, for å gjøre i-siste-liten-arbeid, som ikke var mulig å få gjort unna i løpet av normal arbeidstid.
• Sjekke kredittkortbalansen

Det eneste du trenger å gjøre, for å oppnå denne fantastiske verden, bokstavelig talt, gjennom fingertuppene, er å koble deg til aksesspunktet hos for eksempel kaffebaren du besøker.

Introduksjon av ”den onde kvinnen”

Så der sitter du, lykkelig tilkoblet Internett gjennom et gratis aksesspunkt hos den hyggelige eieren av kaffebaren din, og surfer rundt på nettet.

Det du ikke er klar over er at du ikke er koblet opp mot kaffebarens aksesspunkt i det hele tatt. I nærheten av deg sitter en tilsynelatende uskyldig kvinne og bruker sin egen bærbare PC til å surfe på Internett (formodentlig). Det hun egentlig gjør, imidlertid, er å overvåke sitt egen aksesspunkt, som hun har satt opp for å prøve å lure hennes medkaffedrikkere (deg!) til å koble seg opp mot Internett gjennom hennes forbindelse.

Aksesspunktteknologien virker slik at aksesspunktet med det sterkeste signalet prioriteres, og ved å befinne seg ”midt blant folk”, vil vår kvinnes utstyr ofte være akkurat det. Så, mens du tror du er koblet til Internett gjennom kaffebarens ”trygge” aksesspunkt, er du i virkeligheten koblet opp gjennomen en enhet med programvare som overvåker alt du gjør. Hun er selvfølgelig såpass slu at hun navngir aksesspunktet slik at det kan forveksles med kaffebarens aksesspunkt.

Å sette opp et slikt svindelpunkt er

• Billig (kun små investeringer i maskinvare, programvare er fritt tilgjengelig på Internett)
• Relativt risikofritt siden hun forlater åstedet når hun har fått samlet inn nok ”saftig” informasjon, og det er vanskelig å oppdage den skyldige.
• Mye mer effektivt enn for eksempel tradisjonelle phiskeangrep, som er avhengig av en liten brøkdel av et stort antall personer, som er lettlurte nok til å ”bite på”.

Formildende omstendigheter – eller…

Heldigvis bruker de fleste nettstedene, som driver med utveksling av kritisk informasjon, krypterte forbindelser eller andre sikkerhetsteknikker. Dette gjør det ikke fullt så enkelt å få tak i den nødvendig tilgangsinformasjon, som trengs for å utføre den kriminelle handlingen. Tilgang til bedriftsnettverk er ofte (eller burde i det minste være) gjennom virtuell, privat nettverksteknologi (VPN), som også styrker sikkerheten betraktelig.

Imidlertid, det er fremdeles slik at mange offentlige aksesspunkter ikke er gratis, men krever godkjent betaling. Et andrelinjeangrep kan derfor være å sette opp et phiskenettsted, som samler inn kredittkortdetaljer som oppgis for å få tilgang. Dette kan gjøres på få minutter. Den onde kvinnen har alltid en tilgjengelig løsning å falle tilbake på…