Todos os verões, milhões de viajantes ligam-se a WiFi gratuito em aeroportos, hotéis, cafés e centros de conferências sem pensarem duas vezes. E todos os verões, os criminosos estão à espera deles. Investigadores de segurança e grupos de defesa do consumidor estão mais uma vez a alertar os viajantes sobre ataques "evil twin" - uma das formas mais simples e eficazes de roubar dados pessoais através de WiFi público.
Para os locais que oferecem esse WiFi - hotéis, restaurantes, retalhistas e espaços de eventos - a ameaça é também um risco reputacional. Se um convidado for comprometido numa rede que se parece com a sua, o dano na confiança é real. A boa notícia é que uma rede de convidados autenticada e de marca fecha exatamente a lacuna em que os ataques evil twin se baseiam.
O que é um ataque evil twin?
Um evil twin é um ponto de acesso sem fios fraudulento que se faz passar por um legítimo. Um atacante configura um hotspot que transmite um nome de rede familiar - "Hotel_Guest_WiFi", "Airport Free WiFi" ou o nome do café onde se encontra - e espera que os dispositivos se liguem. Como o nome da rede parece confiável e o sinal é frequentemente mais forte, os telemóveis e portáteis ligam-se automaticamente, por vezes sem que o utilizador se aperceba.
Assim que a vítima se liga, o atacante posiciona-se entre o utilizador e a internet. Podem recolher credenciais de login, capturar dados de pagamento, redirecionar os utilizadores para páginas de login falsas convincentes e monitorizar tudo o que não esteja devidamente encriptado. Como refere um artigo de segurança sobre os riscos do WiFi público , o WiFi público é muito mais perigoso do que a maioria das pessoas imagina - precisamente porque o ataque é invisível para o utilizador comum.
Porque é que as redes abertas facilitam o ataque
Os ataques evil twin prosperam com base numa vulnerabilidade: redes abertas que não exigem nada. Quando qualquer dispositivo se pode ligar a "qualquer rede aberta" sem autenticação, não há forma de o utilizador distinguir o hotspot real do falso. O nome da rede é o único sinal de confiança, e um nome de rede é extremamente fácil de clonar.
É aqui que a discussão sobre segurança está a mudar. O setor em geral está a avançar para abordagens de WiFi baseadas em identidade e de confiança zero (zero-trust) , onde o acesso está associado a uma identidade verificada e a uma autenticação contínua, em vez de um nome de rede que qualquer pessoa pode falsificar. Para os locais, a aplicação prática desse princípio é simples: deixar de disponibilizar uma rede aberta sem nome e passar a oferecer uma rede de convidados autenticada e personalizada com a sua marca.
Como o WiFi de convidados autenticado protege os seus visitantes
Um captive portal gerido altera a dinâmica. Em vez de uma rede aberta anónima, os convidados ligam-se através de uma experiência de início de sessão de marca, reconhecível e controlada por si. Isto dá aos visitantes um ponto de contacto consistente e fiável que podem verificar - e dá-lhe uma rede que pode proteger, monitorizar e gerir centralmente.
Uma plataforma de guest WiFi bem configurada ajuda de várias formas: fornece uma página de login única e de marca que os convidados aprendem a reconhecer; suporta encriptação moderna e autenticação segura em vez de um acesso totalmente aberto; permite monitorizar pontos de acesso não autorizados a operar nas proximidades; e mantém as sessões dos convidados geridas num único sistema, em vez de dispersas por ligações não controladas. A rede passa a fazer parte da experiência da sua marca, em vez de ser algo secundário que os atacantes podem comprometer.
Conselhos práticos que pode partilhar com os convidados
Os espaços que se antecipam a isto criam confiança. Juntamente com uma rede segura, partilhe alguns hábitos simples com os visitantes: ligar apenas à rede oficial e de marca, confirmando o nome exato com a equipa; evitar aceder a serviços bancários ou introduzir palavras-passe em redes abertas desconhecidas; procurar por HTTPS e desconfiar de pedidos de login inesperados; e manter a ligação automática ao WiFi desativada quando viajam, para que os dispositivos não se liguem silenciosamente a um ponto de acesso não autorizado.
Transforme a segurança WiFi numa vantagem para a experiência do convidado
À medida que as viagens de verão atingem o pico, os espaços que tratam o WiFi como um serviço gerido e seguro - e não como um acesso livre para todos - irão proteger os seus convidados e a sua reputação ao mesmo tempo. Se gere um hotel ou espaço de hotelaria ou um espaço de retalho , uma rede de convidados autenticada é a resposta única mais eficaz para o problema de "qualquer rede aberta".
Quer ver como funciona na prática um guest WiFi de marca e seguro? Reserve uma demonstração da Purple e iremos mostrar-lhe como funciona.
