W 2024 roku pracownicy jednej z australijskich linii lotniczych zgłosili obawy dotyczące podejrzanej sieci Wi-Fi działającej na pokładzie samolotu. Po wszczęciu dochodzenia przez Australijską Policję Federalną okazało się, że stał za tym jeden z pasażerów. W wyniku przeszukania śledczy odkryli m.in. dziesiątki przechwyconych danych uwierzytelniających i fałszywe strony logowania. Po tym incydencie prokurator generalny Florydy wydał ostrzeżenie przed atakami Evil Twin, podkreślając, że są one szczególnie niebezpieczne. Jak dokładnie działa to zagrożenie?

Atak Evil Twin polega na utworzeniu przez cyberprzestępcę fałszywego punktu dostępu Wi-Fi, który imituje legalną sieć. Jego celem jest przechwycenie danych użytkowników. To rodzaj ataku hakerskiego typu man-in-the-middle, w którym ofiara nieświadomie łączy się z siecią kontrolowaną przez atakującego, umożliwiając mu tym samym przechwytywanie i monitorowanie przesyłanych informacji.

Proceder zaczyna się od identyfikacji popularnych miejsc z dostępem do publicznego Wi-Fi. Mogą to być np. kawiarnie, biblioteki, dworce czy lotniska. Atakujący tworzy fałszywy punkt dostępowy, którego identyfikator SSID jest identyczny lub bardzo podobny do legalnej sieci. Często cyberprzestępcy stosują rozwiązania pozwalające emitować sygnał silniejszy niż oryginalna sieć, co zwiększa ich wiarygodność.

Po nawiązaniu połączenia ofiara może zostać przekierowana na fałszywą stronę logowania przypominającą legalny portal uwierzytelniający. Wprowadzone dane logowania trafiają jednak bezpośrednio do atakującego, który może je wykorzystać, żeby uzyskać dostęp do kont bankowych czy firmowych systemów.

Atak Evil Twin stanowi zagrożenie dla firm na kilku płaszczyznach. Pierwszą z nich jest sytuacja, w której pracownik korzystający z firmowego sprzętu, np. podczas delegacji, łączy się z fałszywą siecią. Może to poskutkować pozyskaniem przez przestępcę dostępu do zasobów przedsiębiorstwa, w tym danych klientów czy tajemnic handlowych. W wyniku ich wycieku firma zostaje narażona na utratę przewagi konkurencyjnej, blamaż i straty finansowe. Reputacja firmy może ucierpieć w wyniku ataku także dlatego, że przestępca będzie się pod nią podszywał. Ofiara takiego ataku może pierwotnie uznać, że jej dane wyciekły w wyniku korzystania z sieci Wi-Fi udostępnionej klientom właśnie przez tę organizację.

Straty to jednak nie wszystko – atak Evil Twin jest groźny dla firm także dlatego, że trudno go wykryć. Użytkownicy mogą zdać sobie sprawę, że padli ofiarą cyberataku dopiero wtedy, gdy ich dane zostaną upublicznione lub wykorzystane do przestępstwa.

Konsekwencją ataku Evil Twin może być też wstrzyknięcie złośliwego kodu, który zainstaluje np. backdoor na firmowym urządzeniu i w przyszłości zapewni cyberprzestępcy dostęp do wewnętrznej sieci organizacji.

O próbie ataku Evil Twin mogą świadczyć drobne sygnały, na które warto zwracać uwagę. Są to:

• Duplikaty nazw sieci (SSID) – obecność dwóch lub więcej sieci o identycznej nazwie w jednym miejscu może sugerować próbę podszycia się pod legalny punkt dostępowy.


• Brak zabezpieczeń – sieci niewymagające hasła lub oznaczone jako niezabezpieczone również mogą być fałszywe.


• Nietypowe strony logowania – połączenie z siecią, które prowadzi do strony logowania, powinno wzbudzić podejrzenia. Warto też przyjrzeć się, czy panel logowania nie ma błędów językowych, nietypowego wyglądu lub nie żąda nieuzasadnionych danych.

Można zminimalizować ryzyko ataku Evil Twin stosując dobre praktyki, takie jak:

• Korzystanie z sieci VPN – wirtualna sieć prywatna szyfruje ruch internetowy. Utrudnia tym samym przechwycenie danych przez osoby trzecie.


• Unikanie otwartych sieci Wi-Fi – jeśli to możliwe, lepiej wykorzystywać mobilną transmisję danych lub korzystać z zaufanych punktów dostępu. Dane w sieci publicznej bez hasła nie są szyfrowane, co dodatkowo przemawia za tym, aby ich unikać.


• Wyłączenie automatycznego łączenia z sieciami Wi-Fi – pozwala na świadome wybieranie bezpiecznych połączeń.


• Stosowanie uwierzytelniania dwuskładnikowego (2FA) – dodatkowa warstwa zabezpieczeń utrudnia nieautoryzowany dostęp do kont, nawet w przypadku przechwycenia danych logowania.

Dodatkowo, stosowanie rozwiązań klasy MDM (Mobile Device Management) utrudnia ten rodzaj ataku:

• Wymuszanie połączeń tylko z zatwierdzonymi (whitelistowanymi) SSID – MDM może wymusić, by urządzenia łączyły się tylko z predefiniowaną listą zaufanych sieci Wi-Fi, np. firmową siecią WPA2 Enterprise. Wszystkie inne (nieautoryzowane) połączenia Wi-Fi będą blokowane.


• Wyłączenie automatycznego łączenia z otwartymi lub nieznanymi sieciami – MDM może skonfigurować urządzenia tak, by: nie zapisywały przypadkowych SSID; nie łączyły się automatycznie z otwartymi (open) hotspotami.


• Wymuszanie połączenia VPN na nieznanych sieciach – jeśli urządzenie połączy się z niezaufaną siecią (np. publiczną), MDM może wymusić automatyczne uruchomienie VPN, by ochronić ruch sieciowy.


• Zarządzanie certyfikatami i Wi-Fi WPA2 Enterprise – MDM może skonfigurować połączenia tylko przez WPA2-Enterprise z EAP-TLS, gdzie uwierzytelnianie odbywa się na podstawie certyfikatów klienta – wtedy atakujący nie przejmie sesji Wi-Fi nawet z takim samym SSID.


• Monitorowanie zachowania sieciowego i reagowanie – niektóre MDM (lub rozwiązania UEM/EMM z funkcjami bezpieczeństwa) potrafią: wykrywać podejrzane punkty dostępowe (np. o tym samym SSID, ale innym MAC); ostrzegać użytkownika lub administratora; wymuszać rozłączenie lub blokadę dostępu do danych firmowych.

Świadomość zagrożeń i stosowanie dobrych praktyk znacząco zwiększają bezpieczeństwo użytkowników korzystających z publicznych sieci Wi-Fi. Jeśli jednak doszło do wycieku danych, należy niezwłocznie zgłosić taki incydent do odpowiednich organów.

W zapobieganiu atakom Evil Twin niezwykle istotna jest świadomość zagrożenia. Szkolenia dla pracowników z zakresu security awareness organizowane przez specjalistów Netii pozwalają uniknąć podobnych niebezpieczeństw. Osoby, które wiedzą, co to jest Evil Twin, rozważniej podchodzą do sytuacji, w których mogą skorzystać z publicznej sieci. Nie należy przy tym zapominać o zabezpieczeniach technicznych, czyli rozwiązaniach z zakresu cyberbezpieczeństwa, które stanowić powinny w tej sytuacji (pracy zdalnej, mobilnej) „must have” dla organizacji, a w konsekwencji, wraz z technikami miękkimi (szkolenia), zwiększyć bezpieczeństwo IT firmy .