Wi-Fi Pineapple: что это такое и чем опасен «ананас» в руках злоумышленников

Wi-Fi Pineapple Evil Twin кибератаки
Wi-Fi Pineapple: что это такое и чем опасен «ананас» в руках злоумышленников

Wi-Fi Pineapple — компактное устройство для аудита беспроводных сетей, которое в руках атакующего превращается в ловушку. Размещённый в кафе, аэропорту или офисном коридоре, «ананас» маскируется под легитимную точку доступа и перехватывает трафик. Разберём, как это работает и как не попасться на удочку.

Что такое Wi-Fi Pineapple

Оригинальный Pineapple продаёт компания Hak5 . Первый прототип (Mark I) показали на DEF CON 16 в 2008 году, сегодня актуальна версия Mark VII: двухдиапазонный мини-роутер с прошивкой PineAP, веб-интерфейсом и модулями вроде DNS Spoof или Deauth. Аналогичные атаки можно реализовать на ноутбуке или Raspberry Pi при помощи утилит aircrack-ng, Karma и hostapd.

Классические схемы атак Pineapple

  • Evil Twin. Атакующий клонирует SSID (а при желании — и MAC-адрес) «родного» роутера, но выставляет более мощный сигнал или убирает пароль. Устройство жертвы считает сеть знакомой, сопоставляет сохранённый профиль и автоматически подключается. Злоумышленник пропускает интернет-трафик через себя, оставаясь посредником, — так он видит всё незашифрованное, может понижать HTTPS через подмену сертификата и внедрять вредоносные страницы .
  • KARMA. Pineapple пассивно слушает эфир и фиксирует Probe-запросы смартфона («Есть ли здесь мой домашний Wi-Fi?»). На любой такой запрос устройство отвечает положительно, моментально открывая сессию. Телефон, не проверяя шифрование, подключается к «доброжелательной» точке, и весь дальнейший трафик идёт через «ананас».
  • Rogue AP. Делается ставка на доверчивость: создаётся открытая сеть «Free Airport WiFi» или «Coffee-Guest». Пользователь вручную выбирает её ради бесплатного интернета, после чего оказывается в той же ситуации man-in-the-middle, что и при Evil Twin, — только без технической «магии» автоподключения.
  • Deauth Flood. Pineapple рассылает поддельные кадры De-Authentication, заставляя клиентов выйти из легитимного AP. Потеряв связь, устройства сразу ищут альтернативу; ближайшей оказывается Evil Twin или KARMA-точка. Так атакующий принудительно перенаправляет жертв на себя без их участия.
  • DNS Spoof / Captive Portal Hijack. Получив роль посредника, «ананас» подменяет DNS-ответы и перенаправляет браузер жертвы на фальшивые сайты или поддельный портал авторизации. Человек набирает «facebook.com», но получает IP-адрес сервера злоумышленника, вводит логин / пароль и фактически отдаёт учётные данные атакующему.

Чем это грозит пользователю

Перехваченный трафик позволяет читать незашифрованные сайты, собирать cookie и — при успешной подмене сертификатов — перехватывать логины. Даже если HTTPS не взломан, атакующий видит, какие домены посещает жертва, и может навязать вредоносное ПО через скачивание «обновлений» или APK-файлов.

Дополнительный риск для компаний

Если Pineapple подключить в свободную Ethernet-розетку или завладеть корпоративным PSK, злоумышленник оказывается внутри сети, где получает доступ к внутренним сервисам и учётным данным (тактика MITRE TA0006 «Credential Access» ). CISA относит такие точки к ключевым угрозам WLAN .

Как защититься частным пользователям

  1. Избегайте публичного Wi-Fi: раздайте интернет со смартфона.
  2. Используйте VPN с «kill switch»: при обрыве туннеля весь трафик блокируется.
  3. Включите DNS-over-HTTPS: это мешает DNS-подмене.
  4. Проверяйте SSID и отключите автоподключение к публичным сетям.
  5. Случайный MAC-адрес снижает «след» Probe-запросов.
  6. Следите за предупреждениями HTTPS и не игнорируйте ошибки сертификатов.

Как защитить домашнюю сеть

  • Смените дефолтный SSID и пароль администратора.
  • Включите WPA3 (или хотя бы WPA2-AES) и отключите WPS.
  • Создайте гостевую сеть и VLAN для IoT.
  • Активируйте Protected Management Frames (PMF), чтобы усложнить deauth-атаки.

Рекомендации для бизнеса

  1. Разверните WIDS/WIPS: системы обнаружения и предотвращения беспроводных вторжений.
  2. Регулярно сканируйте офис на «левые» SSID и неизвестные устройства.
  3. Внедрите 802.1X с сертификатами вместо общего пароля.
  4. Включите клиентскую изоляцию и сетевую сегментацию.
  5. Используйте NAC — сетевой контроль доступа, блокирующий незарегистрированные устройства.
  6. Обучайте персонал выявлять фишинговые точки и реагировать на предупреждения браузера.

Итого

Wi-Fi Pineapple — легальный инструмент аудитора, который в чужих руках превращается в мощное оружие. Минимизируйте доверие к публичным сетям, шифруйте трафик и внимательно проверяйте любые «бесплатные» точки. Для компаний критически важны мониторинг, сегментация и строгая аутентификация — это ставит «ананасу» надёжный заслон.


Wi-Fi Pineapple Evil Twin кибератаки
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден.

Выберите реальность — подпишитесь.

article-title

Техно Леди

Технологии и наука для гуманитариев