Австралийский суд приговорил 44‑летнего мужчину к семи годам и четырём месяцам лишения свободы за масштабную кражу персональных данных пассажиров авиарейсов и посетителей аэропортов. Злоумышленник на протяжении нескольких месяцев разворачивал поддельные сети Wi‑Fi, перехватывал учётные данные и похищал интимные фото и видео пользователей.
Схема атаки: поддельные точки доступа в аэропортах и на борту самолётов
История началась в апреле 2024 года, когда сотрудники одной из австралийских авиакомпаний обнаружили подозрительную беспроводную сеть на борту самолёта. Название сети (SSID) имитировало официальный бортовой Wi‑Fi, но принадлежало не авиакомпании. После уведомления Австралийской федеральной полиции (AFP) оперативники задержали тогда ещё 42‑летнего подозреваемого.
В ручной клади мужчины были найдены Wi‑Fi Pineapple (портативное устройство для тестирования безопасности беспроводных сетей), ноутбук и мобильный телефон. Последующий обыск дома позволил следствию зафиксировать масштаб и системность его действий.
Расследование показало, что злоумышленник действовал в аэропортах Перта, Мельбурна и Аделаиды, а также на множестве внутренних рейсов. Он использовал классический сценарий атаки Evil Twin: разворачивал фальшивые точки доступа с теми же именами, что и легитимные сети аэропортов и авиакомпаний, заставляя устройства пассажиров автоматически подключаться к ним.
Фишинговые страницы и прицельная охота за жертвами
После подключения пользователя к поддельному Wi‑Fi вся его активность проходила через инфраструктуру злоумышленника. Пассажиров перенаправляли на фишинговые страницы авторизации, стилизованные под стандартные порталы входа: им предлагали войти через email или аккаунты в социальных сетях.
Все введённые логины и пароли сохранялись и использовались для последующего доступа к реальным аккаунтам. По данным AFP, на изъятых устройствах была обнаружена база с украденными учётными данными множества пользователей, а также тысячи интимных фотографий и видеозаписей.
Отдельно отмечается, что злоумышленник целенаправленно охотился за женскими аккаунтами: получив доступ к электронной почте и соцсетям, он просматривал личную переписку и выгружал приватные материалы интимного характера.
Попытки уничтожить улики и дополнительный несанкционированный доступ
После обыска дома обвиняемый попытался скрыть следы. На следующий день он удалил 1752 файла из своего облачного хранилища и предпринял неудачную попытку удалённо стереть данные с мобильного телефона. Эти действия были расценены как попытка уничтожения вещественных доказательств.
Кроме того, 19 апреля 2024 года, уже после конфискации багажа, мужчина получил несанкционированный доступ к служебному ноутбуку работодателя, чтобы узнать подробности конфиденциальных встреч между руководством компании и следователями. Это усилило тяжесть обвинений, так как речь шла о данных ограниченного доступа.
В июле 2024 года ему были предъявлены многочисленные обвинения. В итоге он признал себя виновным по 15 пунктам, среди которых: пять эпизодов незаконного доступа к данным ограниченного доступа, три попытки такого доступа, кража, два случая нарушения работы электронных средств связи, хранение данных с целью совершения тяжкого преступления, попытки уничтожения улик и несоблюдение судебного постановления.
Почему атака Evil Twin так опасна для пользователей публичного Wi‑Fi
Атака Evil Twin эксплуатирует сразу две особенности поведения людей и устройств:
Во‑первых, современные смартфоны и ноутбуки часто автоматически подключаются к знакомым SSID. Если злоумышленник создаёт сеть с тем же названием и более мощным сигналом, устройство может предпочесть именно её, без участия пользователя.
Во‑вторых, многие пользователи привыкли к порталам авторизации в публичных Wi‑Fi сетях и без раздумий вводят адрес электронной почты или данные соцсетей на первой же странице, которая появляется в браузере. Согласно открытым отчётам отрасли, таким как Verizon DBIR и обзоры ENISA, именно фишинг и социальная инженерия остаются одним из ключевых векторов компрометации учётных записей.
Даже наличие HTTPS не всегда спасает, если жертва сама вводит свои логин и пароль на поддельной, но внешне правдоподобной странице. В этом кейсе решающим фактором стало доверие к «официальному» Wi‑Fi в аэропорту и на борту самолёта.
Рекомендации по безопасности в публичных Wi‑Fi сетях
Австралийская федеральная полиция подчёркивает: легитимные бесплатные Wi‑Fi сети обычно не требуют входа через email или социальные сети. Если портал авторизации запрашивает логин от почты или Facebook/Instagram — это серьёзный повод усомниться в его подлинности.
Практические меры защиты при использовании публичных Wi‑Fi сетей:
1. Не вводите критичные пароли в общественных сетях. Для доступа к интернет‑банку, корпоративной почте и другим чувствительным сервисам используйте мобильный интернет или доверенный VPN.
2. Отключайте автоматическое подключение к сетям Wi‑Fi. Настройки «автоподключение» и «подключаться к открытым сетям» создают благоприятные условия для атак Evil Twin. Лучше подключаться к точкам доступа вручную.
3. Проверяйте точное имя сети у персонала. В аэропортах и кафе уточняйте верный SSID у сотрудников и остерегайтесь похожих по написанию сетей с дополнительными символами или словами.
4. Внимательно смотрите на адресную строку браузера. Настоящие порталы авторизации обычно используют домены операторов связи или самого аэропорта. Подозрительные домены без HTTPS или с бессмысленными именами — явный индикатор риска.
5. Используйте менеджеры паролей и многофакторную аутентификацию. Даже если пароль утечёт, наличие 2FA (код по SMS, приложение‑генератор, аппаратный ключ) значительно усложнит захват аккаунта.
6. Удаляйте сохранённые подключения после использования. Это снижает вероятность автоматического подключения к поддельной сети с тем же именем в будущем.
Этот инцидент в Австралии наглядно демонстрирует, что поддельные Wi‑Fi сети в аэропортах и других местах массового скопления людей остаются эффективным инструментом злоумышленников. Осознанное поведение пользователей, базовые навыки цифровой гигиены и внимательное отношение к любым запросам логина и пароля — ключевые факторы снижения рисков. Компании, работающие с путешественниками и массовой аудиторией, должны регулярно информировать клиентов о безопасном использовании публичных Wi‑Fi сетей и включать подобные сценарии в программы обучения по кибербезопасности.
