det0379-detect-evil-twin-wi-fi-access-points-on-network-devices

# DET0379 — Detect Evil Twin Wi-Fi Access Points on Network Devices ## Descrição Um ataque Evil Twin consiste na criação de um ponto de acesso Wi-Fi malicioso que imita o SSID (nome da rede), endereço MAC (BSSID) e características de um access point legítimo, com o objetivo de interceptar o tráfego de clientes que se conectam ao AP falso. Quando bem-sucedido, o atacante posiciona-se como Man-in-the-Middle, capturando credenciais, tokens de sessão e dados sensíveis transmitidos pelos dispositivos vítima. Esse ataque é particularmente relevante em ambientes corporativos com múltiplos APs, onde clientes roaming se conectam automaticamente ao AP com maior sinal — facilmente manipulável com hardware acessível. A detecção de Evil Twin requer visibilidade sobre o ambiente RF (rádio frequência) ao redor da organização. Infraestruturas Wi-Fi corporativas modernas com Wireless Intrusion Prevention System (WIPS) podem detectar APs não-autorizados via triangulação de sinal, análise de características de beacon frames (vendor OUI, IE fields, timestamps) e comparação com lista de APs autorizados. A discrepância de BSSID para o mesmo SSID é o indicador mais confiável — um AP legítimo não terá o mesmo SSID com MAC diferente do inventário aprovado. Além de WIPS, a detecção também pode ocorrer via análise de logs de autenticação (clientes conectando a BSSID não-listado), alertas de controladores de rede sem fio, e relatórios de dispositivos finais sobre certificados TLS inválidos em redes captive portal. ## Indicadores de Detecção - SSID corporativo anunciado com BSSID (MAC) não presente no inventário de APs autorizados - Dois APs com o mesmo SSID e canal incompatível detectados simultaneamente (sinal mais forte = evil twin) - Cliente corporativo autenticando em BSSID não-listado nos logs do controlador wireless - Beacon frames com IE (Information Elements) inconsistentes com o AP legítimo correspondente - Força de sinal anormalmente alta de um AP para o SSID corporativo (AP portátil próximo) - Certificado SSL inválido reportado por clientes ao acessar serviços internos via Wi-Fi ## Técnicas Relacionadas - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1056-input-capture|T1056 — Input Capture]] - [[t1111-multi-factor-authentication-interception|T1111 — Multi-Factor Authentication Interception]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] ## Analytics Relacionadas - [[an1069-analytic-1069|AN1069 — Analytic 1069]] --- *Fonte: [MITRE ATT&CK — DET0379](https://attack.mitre.org/detectionstrategies/DET0379)*