Австралійський суд засудив 44‑річного чоловіка до семи років і чотирьох місяців позбавлення волі за масштабну кампанію зі зламу користувачів у публічних мережах Wi‑Fi. Зловмисник розгортав фальшиві точки доступу в аеропортах і на борту літаків, викрадаючи облікові дані, а також приватні фото й відео пасажирів.
Як працювала схема: фальшиві точки доступу в аеропортах і на рейсах
Розслідування почалося у квітні 2024 року, коли співробітники авіакомпанії виявили підозрілу бездротову мережу на борту літака. Її назва (SSID) повністю повторювала офіційний бортовий Wi‑Fi, однак точка доступу не належала перевізнику. Після повідомлення Австралійської федеральної поліції (AFP) підозрюваного затримали.
Під час огляду ручної поклажі правоохоронці знайшли Wi‑Fi Pineapple (спеціалізований інструмент для аудиту безпеки Wi‑Fi), ноутбук і смартфон. Подальший обшук за місцем проживання дозволив зафіксувати системний характер атак та обсяг зібраних даних.
За даними AFP, зловмисник працював в аеропортах Перта, Мельбурна та Аделаїди, а також на низці внутрішніх рейсів. Він застосовував класичну схему атаки Evil Twin: створював підроблені точки доступу з тим самим ім’ям, що й легітимні мережі аеропорту або авіакомпанії, змушуючи пристрої пасажирів автоматично підключатися до фальшивої мережі.
Фішингові портали авторизації та прицільне полювання на жінок
Після підключення до підробленого Wi‑Fi увесь трафік користувача проходив через інфраструктуру зловмисника. Пасажирів перенаправляли на фішингові сторінки авторизації, стилізовані під стандартні captive‑портали аеропортів і бортових сервісів, де пропонувалося увійти через email або облікові записи соцмереж.
Усі введені логіни й паролі зберігалися та використовувалися для доступу до реальних акаунтів. На вилучених пристроях слідчі виявили базу з численними викраденими обліковими даними, а також тисячі інтимних фотографій і відеозаписів. Поліція окремо зазначає, що зловмисник цілеспрямовано шукав жіночі акаунти, проглядав приватні листування та завантажував матеріали інтимного характеру.
Спроби знищити докази та несанкціонований доступ до корпоративних систем
Після обшуку чоловік намагався прибрати сліди своєї діяльності. Уже наступного дня він видалив 1752 файли з хмарного сховища та здійснив невдалу спробу дистанційно стерти дані зі свого смартфона. Ці дії правоохоронці кваліфікували як спробу знищення доказів.
Крім того, 19 квітня 2024 року, вже після вилучення багажу, обвинувачений отримав несанкціонований доступ до службового ноутбука роботодавця, щоб дізнатися деталі конфіденційних зустрічей керівництва з правоохоронними органами. Це суттєво посилило обвинувачення, оскільки йшлося про інформацію обмеженого доступу.
У липні 2024 року йому було пред’явлено низку статей обвинувачення. Врешті він визнав провину за 15 пунктами: від несанкціонованого доступу до інформації з обмеженим доступом і спроб доступу до неї до втручання в роботу електрозасобів зв’язку, крадіжки, зберігання даних з метою вчинення тяжкого злочину та ігнорування судового припису.
Чому атака Evil Twin особливо небезпечна в публічному Wi‑Fi
Атака Evil Twin поєднує технічні вразливості та людський фактор. По‑перше, смартфони й ноутбуки часто автоматично підключаються до відомих мереж. Якщо зловмисник розгортає точку доступу з тим самим SSID, але з потужнішим сигналом, пристрій може перемкнутися на неї без будь‑яких попереджень для користувача.
По‑друге, більшість людей звикли до порталів авторизації в публічних мережах Wi‑Fi і без зайвих перевірок вводять email або логіни від соцмереж на першій сторінці, яка з’являється в браузері. Відповідно до відкритих галузевих досліджень, зокрема Verizon DBIR та аналітичних звітів ENISA, фішинг і соціальна інженерія залишаються одним з основних векторів компрометації акаунтів.
Навіть HTTPS не гарантує безпеку, якщо користувач самостійно вводить пароль на переконливо підробленій сторінці. У цьому кейсі ключовим чинником став автоматичний кредит довіри до «офіційного» Wi‑Fi в аеропорту та на борту літака.
Практичні рекомендації з безпеки в публічних мережах Wi‑Fi
Австралійська федеральна поліція наголошує: легальні мережі безкоштовного Wi‑Fi рідко вимагають логін від email або соцмереж. Запит пароля від поштової скриньки чи Facebook/Instagram на сторінці підключення — серйозний сигнал тривоги.
1. Не вводьте критичні паролі в публічному Wi‑Fi. Для інтернет‑банкінгу, корпоративної пошти й інших чутливих сервісів використовуйте мобільний інтернет або довірений VPN‑сервіс.
2. Вимикайте автопідключення до Wi‑Fi. Опції на кшталт «підключатися автоматично» чи «підключатися до відкритих мереж» полегшують проведення атак Evil Twin. Краще підключатися до точок доступу вручну.
3. Уточнюйте точну назву мережі. В аеропортах, готелях і кафе запитуйте офіційний SSID у персоналу та уникайте мереж із подібними назвами, додатковими символами або словами на кшталт “_free”, “_guest”, “_wifi‑plus”.
4. Перевіряйте адресу в браузері. Офіційні портали авторизації зазвичай розташовані на доменах оператора зв’язку або самого аеропорту. Підозрілі домени без HTTPS, із набором випадкових символів чи дивними іменами мають викликати недовіру.
5. Використовуйте менеджер паролів і багатофакторну аутентифікацію. Якщо пароль усе ж буде скомпрометовано, 2FA (одноразові коди, застосунки‑генератори, апаратні токени) суттєво ускладнюють захоплення акаунта.
6. Видаляйте збережені підключення. Після відвідування аеропорту чи кафе очищайте список відомих мереж, щоб зменшити ризик автоматичного підключення до майбутньої підробленої точки з тим самим іменем.
Цей інцидент в Австралії демонструє, що фальшиві мережі Wi‑Fi в місцях масового скупчення людей залишаються дієвим інструментом кіберзлочинців. Пильність користувачів, базова цифрова гігієна та регулярне навчання правилам безпечної роботи в публічних мережах Wi‑Fi суттєво знижують ризики. Варто переглянути звички підключення до безкоштовного інтернету вже сьогодні: вимкнути автопідключення, встановити VPN, активувати багатофакторну аутентифікацію та навчити цим правилам колег, дітей і близьких.
