„Evil Twin” na pokładzie samolotu: 7 lat i 4 miesiące więzienia dla hakera z Australii

Wprowadzenie do problemu / definicja luki

Australijski sąd skazał 44-letniego mężczyznę na 7 lat i 4 miesiące więzienia za prowadzenie ataków „Evil Twin” – uruchamianie fałszywych punktów dostępowych Wi-Fi, które podszywały się pod legalne sieci na lotniskach i podczas lotów krajowych. Ofiary, łącząc się z „darmowym Wi-Fi”, trafiały na stronę phishingową, gdzie oddawały dane logowania do poczty i serwisów społecznościowych. Sprawca wykorzystywał je m.in. do włamań na konta kobiet i kradzieży materiałów intymnych. Wyrok zapadł 28 listopada 2025 r. w sądzie okręgowym w Perth; warunkowe zwolnienie możliwe po 5 latach.

W skrócie

• Wektor ataku: fałszywe hotspoty Wi-Fi („evil twin”) z tą samą nazwą SSID co sieci lotnisk/linie lotnicze.
• Narzędzia: przenośny punkt dostępowy klasy „WiFi Pineapple”; portal captive z phishingiem.
• Miejsca: lotniska w Perth, Melbourne i Adelaide oraz loty krajowe.
• Dowody: tysiące przechwyconych poświadczeń i materiałów; próba zdalnego wipe’u telefonu; manipulacje przy dowodach.
• Podstawa prawna: m.in. nieuprawniony dostęp/modyfikacja danych (Criminal Code, s. 478.1), nieuprawnione zakłócanie komunikacji (s. 477.3), próby zniszczenia dowodów.

Kontekst / historia / powiązania

Pierwsze działania organów ścigania odnotowano w kwietniu 2024 r., gdy pracownicy linii lotniczej zauważyli podejrzaną sieć Wi-Fi podczas lotu. W czerwcu 2024 r. AFP (Australian Federal Police) ujawniła zarzuty: co najmniej dziewięć czynów, przeszukania bagażu na lotnisku oraz domu podejrzanego w Palmyrze. Sprawa była od tamtej pory szeroko opisywana w mediach branżowych.

Analiza techniczna / szczegóły luki

„Evil Twin” to klasyczny atak warstwy 802.11 polegający na wystawieniu rogue AP z identycznym SSID jak legalny hotspot.
Kluczowe elementy tej kampanii:

• Passive probe sniffing & SSID cloning – urządzenie (np. WiFi Pineapple) nasłuchuje probe requests rozgłaszane przez telefony/laptopy („auto-join”), po czym automatycznie tworzy sieć o żądanej nazwie i silniejszym sygnale, co skłania urządzenie do połączenia.
• Captive portal phishing – po połączeniu ofiara była kierowana na fałszywą stronę logowania, proszącą o e-mail lub konto społecznościowe; dane trafiały wprost do sprawcy. HTTPS/HSTS nie pomagają, gdy użytkownik sam wpisuje poświadczenia na podsuniętej stronie.
• Post-exploitation – z przechwyconymi hasłami sprawca logował się do kont ofiar, pobierał materiały, monitorował komunikację; dodatkowo próbował zdalnie wyczyścić własny telefon i manipulował danymi po przeszukaniach.

Praktyczne konsekwencje / ryzyko

• Kradzież poświadczeń (e-mail, social), przejęcie kont i ekspfiltracja danych wrażliwych.
• Ryzyko reputacyjne i szantaż w razie pozyskania materiałów prywatnych.
• Niewidoczność dla ofiary: połączenie z „znaną” nazwą SSID wygląda wiarygodnie; wielu użytkowników bezrefleksyjnie akceptuje captive portal.
• Środowiska o podwyższonym ryzyku: lotniska, pociągi, hotele, konferencje – wszędzie tam, gdzie występują otwarte lub półotwarte sieci wielu operatorów. Analizy branżowe od lat opisują ten wektor jako realny i powracający.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników:

1. Nie podawaj poświadczeń na captive portalach „darmowego Wi-Fi”. Legalne hotspoty nie wymagają logowania przez e-mail/social (wyjątki: portale sponsorów – weryfikuj domenę).
2. Wyłącz „Auto-Join/Auto-Connect” dla publicznych sieci; kasuj zapamiętane sieci po użyciu.
3. Preferuj LTE/5G do operacji wrażliwych (bankowość, poczta).
4. Jeśli już publiczne Wi-Fi, to VPN + DNS-over-HTTPS i MFA na wszystkich usługach. Rób to, zanim wsiądziesz do samolotu/na lotnisku. (AFP wprost rekomenduje VPN i wyłączanie udostępniania plików).
5. Uwaga na nazwy sieci: nie łącz się z SSID typu „Free Airport Wi-Fi” bez weryfikacji na tablicach informacyjnych przewoźnika/lotniska.

Dla zespołów IT / operatorów:

1. WIPS/WIDS (Wireless IPS/IDS) w portach lotniczych i biurach – wykrywanie duplikatów SSID, sygnatur PineAP/Karma, gwałtownych zmian BSSID.
2. 802.1X/EAP-TLS lub Passpoint (Hotspot 2.0) – eliminacja otwartych sieci bez uwierzytelniania warstwy 2.
3. Segmentacja + captive portal bez haseł (tylko regulamin), brak zbędnych formularzy – ogranicza wektor phishingu.
4. Edukacja pasażerów/pracowników – dokładnie to robi AFP w swoich komunikatach ostrzegawczych.

Różnice / porównania z innymi przypadkami

• Evil Twin vs. klasyczny sniffing na otwartym Wi-Fi: tu ofiara sama oddaje hasło na podszytej stronie; nie chodzi wyłącznie o podsłuchanie nieszyfrowanego ruchu.
• Evil Twin vs. ataki na WPA2 (np. KRACK): nie wykorzystuje błędów w protokole, tylko socjotechnikę + zachowania urządzeń (auto-join do znanego SSID).
• Evil Twin w samolocie to nietypowe środowisko – ale „mit obalonego zagrożenia publicznego Wi-Fi” nie wytrzymuje konfrontacji z realnymi incydentami i wyrokami.

Podsumowanie / najważniejsze wnioski

Wyrok z Perth jest ważnym precedensem pokazującym, iż stare techniki (rogue AP/Evil Twin) wciąż działają, zwłaszcza w miejscach o dużej rotacji użytkowników. Minimalne higieniczne praktyki – MFA, VPN, brak logowania przez portale Wi-Fi, wyłączenie auto-łączenia – istotnie redukują ryzyko. Operatorzy powinni przejść z otwartych SSID na 802.1X/Passpoint i aktywnie wykrywać duplikaty sieci.

Źródła / bibliografia

1. BleepingComputer: Man behind in-flight Evil Twin WiFi attacks gets 7 years in prison (28.11.2025). Najważniejsze streszczenie wyroku i modus operandi. (BleepingComputer)
2. Australian Federal Police – media release (28.11.2025): WA man jailed for stealing intimate material and using ‘evil twin’ WiFi networks. Oficjalne potwierdzenie wyroku, lista zarzutów, technika ataku, rekomendacje. (Australian Federal Police)
3. 9News (29.11.2025): Man jailed for creating 'evil twin’ WiFi networks at Australian airports and on domestic flights. Potwierdzenie wymiaru kary i warunków zwolnienia. (9News)
4. AFP – media release (28.06.2024): Man charged over creation of ‘evil twin’ free WiFi networks… Kontekst śledztwa, początkowe zarzuty i timeline. (Australian Federal Police)
5. Malwarebytes Blog (01.07.2024): Personal data stolen… in ‘Evil Twin’ attacks – tło techniczne i popularnonaukowe wyjaśnienie wektora. (Malwarebytes)