Wi-Fi Pineapple — устройство размером с ладонь, которое стоит $100 и превращает любого ребёнка в хакера публичных сетей. Не страшно, как звучит, но знать стоит.

Что это

Wi-Fi Pineapple — производитель Hak5. Маленькая железка, на которой стоит специализированная прошивка. Включается в розетку или работает от аккумулятора. Создаёт фальшивые Wi-Fi сети и перехватывает трафик подключённых.

Создан изначально для пентестеров — людей, которые легально проверяют безопасность сетей. Но также активно используется злоумышленниками.

Что эта штука может

1. Создавать фальшивые сети. Если у вас в телефоне сохранена сеть «Starbucks-WiFi», Pineapple может выдать себя за неё. Телефон автоматически подключится. Дальше — весь трафик через Pineapple.

2. Атака «Evil Twin». Создаёт сеть с тем же именем, что и настоящая (например, «Hotel_Free_WiFi»). Пользователи случайно подключаются к фальшивой.

3. Перехват трафика. Всё, что идёт через Pineapple, можно записать. HTTPS-трафик защищён, но HTTP — нет.

4. SSL Stripping. Принудительное понижение HTTPS до HTTP. Если сайт неправильно настроен — пройдёт. Если правильно — браузер предупредит.

5. Phishing-атаки. Подмена страниц при заходе на сайт. Пытаются украсть пароли.

Кто использует Wi-Fi Pineapple

  • Пентестеры. Аудиторы безопасности — проверяют, насколько компания защищена.
  • Спецслужбы. Когда нужно перехватить трафик конкретного человека.
  • Мошенники. Перехват в кафе, аэропортах. Особенно в туристических местах.
  • «Хакеры-любители». Купили, чтобы поиграть. Иногда невинно (свои сети), иногда — нет.

Распространённость: не массовая, но и не редкая. Если вы — рядовой пользователь, прицельно за вами не охотятся. Но «попасть в чужой ловушку» в туристическом кафе — реально.

Как защититься

1. VPN — главное. Если ваш трафик зашифрован VPN, Pineapple видит только зашифрованную кашу. Не может ничего понять и подменить.

Это самая практичная защита от Pineapple-атак. Включайте VPN перед подключением к Wi-Fi, а не после.

2. Только HTTPS-сайты. Современные браузеры предупреждают, если зайти на HTTP. Прислушивайтесь.

3. Удалите старые Wi-Fi сети из памяти. Если когда-то были в Starbucks, телефон помнит «Starbucks-WiFi». Pineapple это использует. На телефоне: Settings → Wi-Fi → Saved Networks → удалить старые.

4. Не подключайтесь к открытым сетям без необходимости. Открытая сеть = легче атаковать. Если в кафе есть пароль — лучше с паролем.

5. Выключайте Wi-Fi когда не нужен. Иначе телефон в фоне сканирует и может подключиться к Pineapple-сети.

6. Не игнорируйте предупреждения о сертификатах. Если браузер пишет «недоверенный сертификат» — закрывайте страницу.

7. Включите DNS over HTTPS. Pineapple часто подменяет DNS — с DoH это не сработает.

HSTS — встроенная защита

HSTS (HTTP Strict Transport Security) — это политика, по которой сайт говорит браузеру: «ко мне только по HTTPS, никогда не по HTTP». Браузер запоминает это.

Если Pineapple попытается сделать «SSL stripping» для сайта с HSTS — браузер откажется и покажет ошибку.

Большие сайты (Google, Facebook, банки) используют HSTS. Маленькие сайты — часто нет.

Конкретные сценарии

1. Туристическое кафе. Бесплатный Wi-Fi, много людей, мошенник со своим Pineapple.

Защита: сразу VPN. Не заходите в банк-приложение если не включён VPN.

2. Аэропорт. Сети с похожими именами (некоторые могут быть фальшивые).

Защита: мобильный интернет лучше, чем сомнительный аэропортный Wi-Fi. Если только Wi-Fi — VPN обязателен.

3. Гостиница. Wi-Fi отельный, обычно с паролем — но пароль один для всех гостей. Любой из них может атаковать.

Защита: VPN. Помните — пароль на Wi-Fi не защищает от атак внутри сети.

4. Дома. Если ваш Wi-Fi сосед слушает (атака «у соседа), на самом деле сложно — нужен пароль вашей сети.

Защита: длинный пароль на Wi-Fi (16+ символов, WPA3 или WPA2 шифрование).

Другие подобные устройства

HackRF, RTL-SDR. Радиочастотные устройства, могут перехватывать сигналы.

Flipper Zero. Универсальный «хакерский тамагочи». Поддерживает много протоколов. Может имитировать карты доступа, RFID, инфракрасные пульты. Wi-Fi там слабее, но есть.

Specialized USB sniffers. Устройства для конкретных протоколов.

Все они существуют, доступны легально (продаются в открытую). Защита одна — здравый смысл и базовая дисциплина: VPN, проверка сертификатов, минимум доверия публичным сетям.

Что у нас в AnonVPN

AnonVPN — основная защита от подобных атак в открытых сетях. Включаете перед подключением к Wi-Fi — трафик зашифрован, Pineapple бесполезен.

Это самый частый сценарий пользы VPN — не для обхода блокировок, а для защиты в чужих сетях.

Резюме

  • Wi-Fi Pineapple — реальное устройство для атак в публичных сетях.
  • $100 + базовое умение — и есть «хакер».
  • VPN — главная защита. Включайте до подключения к Wi-Fi.
  • Только HTTPS-сайты, не игнорируйте предупреждения.
  • Удаляйте старые сохранённые сети с телефона.
  • Мобильный интернет безопаснее, чем сомнительный Wi-Fi.