Як обійти SMS ідентифікацію при підключенні до публічних Wi-Fi мереж?

У 2014 році у Росії почали свою дію постанови уряду РФ №758 №801, які зобов’язують власників публічних WiFi мереж налаштувати на роутерах ідентифікацію користувачів через паспортні дані, sms або портал державних послуг. Небажання власників кафе витрачатися за Captive portal’и посприяло деяких провайдерів в поширенні своїх точок доступу з платною sms-авторизацією. У мене виникло бажання перевірити, як подібну sms-авторизацію обійти.

Дисклеймер

Дана стаття написана в ознайомлювальних цілях. Автор ні в якому разі не закликає читачів до порушення законодавства РФ. Будь ласка, не повторюйте кроки, описані в цій статті, попередньо не ознайомившись з главою 28 КК РФ. Всі торгові марки і назви Wi-Fi мереж в даній статті є вигаданими, а всі збіги — випадкові.

До справи…

Для пошуку підходящої жертви я взяв ноутбук з Debian ом на борту і попрямував в найближчу піцерію. Поруч було кілька торгових центрів, і ще кілька забігайлівок, що гарантувало мені знайти підходящу жертву. Я підключився до однієї з доступних мені мереж, потім відкрив браузер, щоб зайти в інтернет і ось що я побачив:

Ця точка доступу виявилася підконтрольна одному з російських провайдерів. Мені пропонувалося скористатися даною мережею в якості гостя на мінімальній швидкості, отримати преміум за 99 рублів або (якщо я є клієнтом даного провайдера) увійти через особистий кабінет. І, звичайно ж, я пішов шляхом, що не входять в цей список (інакше навіщо б я почав писати цю статтю).

На своєму досвіді я знав, якщо пройти ідентифікацію на одній точці доступу цього провайдера, то при підключенні того ж пристрою до іншої точки ідентифікацію проходити не потрібно (потім виявилося, що так у всіх провайдерів, що надають sms-авторизацію). Ідентифікація не була потрібна навіть коли використовувався інший браузер. Отже, провайдер якось запам’ятовує наше «залізо». Саме перше що мені прийшло в голову — провайдер запам’ятовує mac-адресу нашого пристрою. А це означає, що якщо поставити собі mac-адресу того, хто вже пройшов ідентифікацію, то ми зможемо спокійно користуватися мережею. І, як ми побачимо далі, інтуїція мене не підвела.

Читайте також  КІБ «SearchInform» як робочий інструмент аналітика або «Бійтеся данайців, що дари приносять»

Для атаки я вирішив скористатися утилітами з пакету aircrack-ng і WiFi-адаптер TL-WN722N з зовнішньою антеною для більшого охоплення. Для початку я підключив адаптер і з допомогою airodump-ng перевів його в режим монітора. Я описав цей процес коротко, більш детально ви можете прочитати тут.

sudo -s # працювати будемо з правами супер користувача
ifconfig # дивимося ім'я адаптера, який ми хочемо використовувати

Отримуємо:

...
wlx60e32719503f: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500 
 ether 2a:36:62:d5:ec:63 txqueuelen 1000 (Ethernet)
 RX packets 0 bytes 0 (0.0 B)
 RX errors 0 dropped 0 overruns 0 frame 0
 TX packets 0 bytes 0 (0.0 B)
 TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
...

wlx60e32719503f — це наш адаптер
Вбиваємо процеси, які використовують адаптер, і переводимо його в режим монітора.

airmon-ng check kill
airmon-ng start wlx60e32719503f

Ми бачимо, що з’явився новий мережевий інтерфейс — wlan0mon. Запускаємо його

airodump-ng wlan0mon

Чекаємо пару хвилин, і отримуємо таку табличку

Нас цікавлять поля BSSID (mac-адреса точки доступу), CH (канал) і ESSID (назва мережі). По полю ESSID я знайшов цікаву мережа (вона шоста по рахунку). Беремо з таблиці mac-адреса точки доступу (CC:B2:**:**:**:FC), канал (4 канал), на якому вона працює і передаємо їх в airodump-ng:

airodump-ng wlan0mon -c 4 --bssid CC:B2:**:**:**:FC

Чекаємо деякий час, і тепер отримуємо такий висновок:

У першій таблиці всього один рядок. Це наша атака на мережу. У другій таблиці ми бачимо список клієнтів цієї мережі. Нас цікавить поле STATION. Це mac-адреси клієнтів, зберігаємо їх у текстовий файл. Нам необхідно замінити свою mac-адресу на одну з них. Я вибрав mac передостаннього клієнта (1C:CD:**:**:**:43), так як цей клієнт найактивніший в мережі, а отже, він напевно пройшов ідентифікацію.

Як всім відомо (а я сподіваюся, що вам відомо), двом пристроям з однаковими mac-адресами буде важко ужитися в одній мережі. І зараз у нас 2 варіанти.

Читайте також  Через уразливості в системі захисту електромобілів Tesla викрасти машину можна за кілька секунд

Можна скористатися утилітою aireplay-ng, щоб провести деаутентификацию нашого клієнта від мережі

aireplay-ng -0 1000 -a CC:B2:**:**:**:FC -c 1C:CD:**:**:**:43 wlan0mon

 

  • “-a CC:B2:**:**:**:FC” — це атакується точка доступу
  • “-c 1C:CD:**:**:**:43” — це клієнт, якого ми будемо відключати
  • “-0 1000” — тут ми вказуємо тип атаки (нуль це деаутентифікація) і кількість пакетів, щоб відключити клієнта, якщо він знову підключиться.

Але я вирішив не шкодити людині, а піти більш гуманним способом — почекати, поки клієнт сам піде (якраз є час поїсти піцу).
На щастя, цей клієнт швидко пішов. Тепер нам залишилося поставити його mac-адресу собі. Є багато способів змінити mac-адресу на linux. Найпростіший — вказати потрібну mac-адресу безпосередньо в мережевих налаштуваннях.

Mac-адреса вказана, тепер ми можемо підключитися до точки, і перевірити доступ до інтернету командою ping.

Спробував зайти в гугл, і ще на кілька сайтів — успішно.

Висновок

Таким чином вдалося з’ясувати, що SMS-авторизацію легко обійти замінивши свій mac-адресу на mac-адресу клієнта, який вже пройшов ідентифікацію. У висновку хочу ще раз сказати: «Ця стаття написана в ознайомлювальних цілях.»

Степан Лютий

Обожнюю технології в сучасному світі. Хоча частенько і замислююся над тим, як далеко вони нас заведуть. Не те, щоб я прям і знаюся на ядрах, пікселях, коллайдерах і інших парсеках. Просто приходжу в захват від того, що може в творчому пориві вигадати людський розум.

You may also like...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься.