Vedo che il post è vecchio, ma pare che non sia stata raggiunta una soluzione. Ho cercato di leggere il più possibile, anche se ad un certo punto ho tirato dritto, quindi, se non sono già state proposte come idee/soluzioni, aggiungo un paio di cose che possono tornare utili anche in scenari simili.
Escludendo Evil twin, WPS ed altre cose già trattate all'inizio del post, a me è venuto in mente:
- Backdoor nel router, dopo aver avuto accesso la prima volta o router exploitabile
- Backdoor in qualche dispositivo secondario (uno stereo o una videocamera con accesso alla rete, una lampadina smart, ecc.... questi dispositivi sono già stati bersagli di attacchi per accedere alle reti di cui fanno parte) o exploit disponibile
- Malware o spyware diffuso al primo accesso, il che spazia da keylogger a reverse shell
Possibili soluzioni sono:
- Aggiornare il firmware del router o fare un ripristino ai dati di fabbrica, cambiando immediatamente l'accesso admin, nome rete, password wpa, tutto.
- Scollegare tutti i dispositivi dalla rete ed applicare la stessa procedura. Qualsiasi dispositivo con una backdoor, al momento di aggiornamento o ripristino, la sovrascrive. Con un aggiornamento si spera di andare ad annullare anche i possibili exploit.
- Antivirus su tutti i computer e smartphone in casa. Anche se, personalmente, suggerirei un bel format.
- Ricollegare, con molta pazienza, un dispositivo ogni 2-3 giorni e vedere se accade qualcosa di critico. Sì, è una scocciatura, ma meglio così che ricominciare tutto da capo e non avere idea di dove sia la falla.