Een 44-jarige Australische man die via een ‘evil twin’ wifi-netwerk phishingaanvallen uitvoerde is in Australië veroordeeld tot een gevangenisstraf van zeven jaar en vier maanden. Dat meldde Security.nl onlangs. Diverse onderzoekers vroegen me of dat ook bij ons zo zou uitpakken.
Bij een evil twin-aanval maak je kort gezegd een wifi-netwerk met dezelfde naam om zo de laptops en telefoons in de buurt met dit malafide wifi-netwerk verbinding te laten maken. Het kán dan zijn dat je wachtwoorden of certificaten toegezonden krijgt, maar deze man had het simpeler ingericht:
Wanneer slachtoffers met dit malafide netwerk verbinding maakten werden ze doorgestuurd naar een webpagina die hen vroeg om in te loggen met een e-mail- of socialmedia-account. In werkelijkheid ging het om een phishingpagina die inloggegevens op de apparatuur van de verdachte opsloeg. Inloggegevens die slachtoffers invulden werden door de verdachte daarna gebruikt om op hun socialmedia- en e-mailaccounts in te loggen en zo allerlei gevoelige informatie te stelen.Op deze manier verkrijg je natuurlijk een berg wachtwoorden, en daar kun je dan makkelijk mee inloggen en allerlei zaken uithalen. Het spreekt voor zich dat dat laatste computervredebreuk is. Maar het enkele omleiden naar jouw netwerk, is dat al strafbaar?
De strafwet kent geen letterlijk verbod op het opzetten van een wifi-netwerk met als SSID de naam van een ander, ook niet als jouw intentie kwaadwillend is. Je moet dus zoeken naar zaken als denial of service (je hindert toegang tot het andere netwerk) of het aftappen van communicatie (men beoogt het andere netwerk het connectieverzoek te sturen).
Met name die laatste lijkt me relevant. Art. 139c Wetboek van Strafrecht verbiedt
opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens [aftappen of opnemen] die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.De lezing is dan dat door het nepnetwerk op te zetten, de slachtoffers jou gegevens sturen die niet voor jou bestemd zijn. Immers men wilde het échte netwerk met die naam hebben.
Indirect is hiermee het enkele opzetten van dat nepnetwerk ook strafbaar, namelijk als poging (art. 45 WvSr) tot het plegen van strafbaar aftappen. Er moet dan een “een begin van uitvoering” zijn, wat hier eenvoudig te bewijzen is omdat het netwerk zich voordoet als het echte netwerk en daar in de buurt ook opgesteld staat.
Arnoud
Ooit had ik (via mijn werk) een slechte internetprovider die als SSID zo’n standaardnaam had, maar zelfs zonder random string erachter. En een van mijn buren had exact dezelfde SSID. Dus ik wilde mijn SSID wijzigen om mijn verbinding beter te laten verlopen, maar ik mocht niet bij de instellingen van mijn modem. Als ik het goed begrijp was ik toen gelukkig niet strafbaar toen ik mijn modem aanzette.
(Overigens kreeg ik na contact met de klantenservice (een paar keer heen en weer om duidelijk te maken dat ik het echt nodig had) wel het wachtwoord van het admin-account op mijn modem; het was “admin” of “password” of iets anders niet-veiligs. Kon ik het SSID wijzigen en dit wachtwoord meteen ook.)
Those were the days. Ik herinner me onbeveiligde netwerken in de buurt. Daar kon je mee connecten, en dan zien welke type modem het was. Vervolgens in de manual zoeken wat het default admin password was. Gelukkig is dat allemaal wat beter geregeld nu.
Maar dit dan alleen als er sprake is van opzet? Dus als ik hetzelfde SSID kies als mijn buurman, wat zou kunnen gebeuren als we allebei iets grappigs kiezen, dan is er niets aan de hand omdat de opzet ontbreekt?
Je hebt gelijk, opzet is vereist. Maar opzet kan uit objectieve kenmerken worden afgeleid, ook als jij bij hoog en laag roept dat het echt toeval was. In die consumentensituatie van Fokko hierboven is opzet duidelijk niet aanwezig.
Bij jou zou ik de buurman gaan vragen of er wellicht een burenruzie speelt, want dat kan wijzen op hem willen lastigvallen. En de politie komt natuurlijk pas als er wat gebeurd is, enkel twee identieke SSID’s is niet genoeg voor uitrukken.
Wat als die 2 buren dezelfde achternaam naam hebben? En beiden zetten “Jansen-guest” op? Of iemand wiens achternaam op een bedrijfsnaam lijkt, mag John McDonald “McDonald-Guest” aanbieden?
Ik heb twee vrienden die ooit allebei maar onafhankelijk van elkaar, als SSID “Dead n***er storage” (maar dan zonder de sterretjes, een term uit de Quentin Tarantino film Pulp Fiction) hadden ingesteld. Bij een van hen was een buurvrouw komen klagen omdat ze het ongepast vond. Ik heb ook al meerdere keren iets gezien als “recherche afluisterbus”, en “Mam, klik op deze voor internet” is ook een klassieker.
Ik moest even zoeken naar de betekenis. Alhoewel ik niet snel zou klagen bij de buren over een SSID (En bij welke buren?) vind ik wel dat je vrienden een apart gevoel voor humor hebben.
Er is een subtiele variant op het “Evil Twin” verhaal waar het fake netwerk geen vaste naam heeft maar reageert op verbindingsverzoeken naar meerdere (alle) netwerken. Zo zou Arnoud’s laptop ergens op een station opeens verbinding kunnen krijgen met een “ICTRecht_Kantoor” netwerk.
Deze variant is moeilijker detecteerbaar (het fake netwerk zendt geen “beacons” uit) en gevaarlijker omdat de laptop of telefoon denkt met een vertrouwd netwerk te spreken.
Dit is waarom voor bedrijfsnetwerken een certificaat gebruikt wordt. Daarmee is het mogelijk voor de client om zeker te weten dat de verbinding met het bedrijfsnetwerk is en niet met een netwerk dat “toevallig” hetzelfde SSID heeft. Helaas is het iets lastiger om dit te doen, en waarschijnlijk daarom niet van toepassing (of in te stellen) voor consumenten/thuis netwerken.
Ik bied in de straat SSID: “Virus Infected WIFI” aan.
Is intentie alleen genoeg?
Stel ik ga in de Starbucks zitten en die heeft een wifi genaamd “Starbucks”. Als ik dan een netwerk “Starbucks2025” opzet, met kwade intentie maar zonder direct de naam te kopiëren. Ik ga er alleen vanuit dat de meeste de 2025 variant zullen kiezen. Of, om merken uit de weg gaan kies ik “SB2025”.
Intentie is vereist, maar mag worden afgeleid uit omstandigheden. Dus als jij in de Starbucks zit en netwerk “Starbucks2025” opzet, dan zou ik als officier daar wel een kwade intentie in zien. Ik ben benieuwd wat jij dan tegen de rechter zegt als die vraagt, wat was uw idee met die naam op die plek?
Het zal ook meehelpen dat ik op jouw laptop een bestandje sb-wachtwoorden-dump.txt vind en een kopie van Wireshark.