Criminelen kunnen wifi-netwerken van bedrijven aanvallen door een Raspberry Pi of andere single board computer via de post naar hen toe te sturen, zo waarschuwt IBM in een blogposting. De aanvallen zouden zowel gericht tegen de netwerken als hun gebruikers kunnen zijn.
In het verleden hebben zich verschillende voorbeelden voorgedaan waarbij aanvallers het op het wifi-netwerk van een organisatie hadden voorzien. Vorig jaar werd bekend dat de MIVD een aanval had verstoord die tegen het draadloze netwerk van de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag was gericht. In 2007 werden via een onbeveiligd wifi-netwerk 94 miljoen creditcardgegevens bij winkelketen TJX gestolen.
In beide gevallen waren de aanvallers in de buurt van hun doelwit. Door een minicomputer per post te versturen is dat niet meer nodig, aldus IBM. Een minicomputer met accu en 3G-verbinding maakt het mogelijk om op afstand dergelijke wifi-aanvallen uit te voeren. Zo kan er worden geprobeerd om het wachtwoord van het wifi-netwerk te kraken of een kwaadaardig wifi-netwerk op te zetten waarmee medewerkers van de betreffende organisatie verbinding maken. Op deze manier kunnen ook inloggegevens worden verkregen.
Zodra de aanvaller toegang tot het wifi-netwerk van de aangevallen organisatie heeft kan die proberen om andere systemen aan te vallen. Om dergelijke aanvallen te voorkomen adviseert IBM om medewerkers geen persoonlijke post naar het kantoor te laten sturen, pakketjes net zo te behandelen als bezoekers, inkomende pakketten te controleren en personeel te onderwijzen om alleen met vertrouwde wifi-netwerken verbinding te maken. Tevens raadt IBM aan om in bedrijfsomgevingen geen preshared keys te gebruiken en dat de signaalsterkte van het wifi-netwerk niet als beveiligingsmaatregel moet worden gezien.
De aanval die IBM demonstreert is niet nieuw. Zes jaar geleden in 2013 demonstreerden onderzoekers David Maynor en Robert Graham al een soortgelijke aanval waarbij ze een telefoon gebruikten. Een jaar later in 2014 kwam onderzoeker Larry Pesce op het idee om een Raspberry Pi per post te versturen.
Deze posting is gelocked. Reageren is niet meer mogelijk.