中新網(wǎng)6月18日電,昨日,央視《消費(fèi)主張》報(bào)道了人們?nèi)粘J褂玫臒o(wú)線(xiàn)網(wǎng)絡(luò)存在巨大的安全隱患。在節(jié)目中,央視聯(lián)合金山毒霸安全工程師在多個(gè)場(chǎng)景實(shí)際測(cè)驗(yàn)顯示,火車(chē)站、咖啡館等公共場(chǎng)所的一些免費(fèi)WIFI熱點(diǎn)有可能就是釣魚(yú)陷阱,而家里的路由器也可能被惡意攻擊者輕松攻破。網(wǎng)民在毫不知情的情況下,就可能面臨個(gè)人敏感信息遭盜取,上網(wǎng)如同“裸奔”,訪(fǎng)問(wèn)釣魚(yú)網(wǎng)站,會(huì)直接造成經(jīng)濟(jì)損失。
免費(fèi)WIFI實(shí)為釣魚(yú)誘餌 連接可致賬戶(hù)信息泄露
不久前,有媒體報(bào)道一位女子在麥當(dāng)勞門(mén)前舉牌抗議,使用公開(kāi)WIFI上網(wǎng)被騙2000元,“連WIFI雖易,丟錢(qián)更易,且連且小心。”專(zhuān)家分析認(rèn)為,該女子網(wǎng)購(gòu)被盜的原因就很可能與WIFI釣魚(yú)有關(guān)。
節(jié)目中,記者就與兩位金山毒霸安全工程師進(jìn)行了這樣一場(chǎng)“釣魚(yú)”實(shí)驗(yàn)。他們模擬黑客,在北京火車(chē)站和王府井商業(yè)區(qū)分別設(shè)置了名為BEIJINGFREE和WANGFUJINGFREE的兩個(gè)免費(fèi)WIFI熱點(diǎn),不設(shè)密碼,作為“誘餌”引誘附近的網(wǎng)民連接。
由于該WIFI無(wú)需密碼且信號(hào)較強(qiáng),因此很快就有幾十個(gè)網(wǎng)民通過(guò)手機(jī)、平板電腦、電腦等設(shè)備接入了這兩個(gè)釣魚(yú)熱點(diǎn),而網(wǎng)民在網(wǎng)絡(luò)上的一舉一動(dòng),甚至其手機(jī)型號(hào)、打開(kāi)的應(yīng)用名稱(chēng)及上網(wǎng)信息,如瀏覽過(guò)的網(wǎng)頁(yè)、機(jī)主QQ號(hào)碼、微信朋友圈照片、淘寶、微博賬號(hào)等信息,則同時(shí)被該WIFI創(chuàng)建者截獲。
實(shí)驗(yàn)發(fā)現(xiàn),在釣魚(yú)WIFI環(huán)境下,網(wǎng)民若登錄微博,黑客則利用網(wǎng)上存在的會(huì)話(huà)機(jī)制輕松劫持該網(wǎng)民的微博帳號(hào),不僅可以以主人的身份瀏覽網(wǎng)民的私信內(nèi)容和加密的相冊(cè),還可以進(jìn)行發(fā)微博和刪微博等操作。而如果網(wǎng)民接入WIFI后進(jìn)行網(wǎng)購(gòu),那么黑客一樣可以直接進(jìn)入其網(wǎng)購(gòu)賬號(hào),查看網(wǎng)民購(gòu)買(mǎi)記錄及個(gè)人聯(lián)系方式、家庭住址等。
金山毒霸安全工程師趙昱表示:“WIFI釣魚(yú)熱點(diǎn)其實(shí)就是在數(shù)據(jù)傳輸?shù)纳嫌卧O(shè)置了一道閥門(mén),所有客戶(hù)的數(shù)據(jù)都通過(guò)這個(gè)閥門(mén)與相應(yīng)的網(wǎng)站進(jìn)行傳輸,黑客通過(guò)一些特定的攻擊設(shè)備,就可以對(duì)這些數(shù)據(jù)進(jìn)行記錄和抓取分析。這樣,客戶(hù)的相關(guān)信息就會(huì)被黑客獲取。”
據(jù)了解,黑客所用的攻擊設(shè)備在網(wǎng)上大量銷(xiāo)售,而且成本很低,只需要幾百元。它們的學(xué)習(xí)成本也不高,閱讀一些使用說(shuō)明就可以上手,一個(gè)電腦水平不高的人也可以在短時(shí)間內(nèi)成為一名黑客。WIFI釣魚(yú)的成本越低,也就意味著普通網(wǎng)民面臨的安全風(fēng)險(xiǎn)越大。
家用路由器易被攻克 專(zhuān)家:切記修改出廠(chǎng)密碼
連接公共WIFI有風(fēng)險(xiǎn),在自己家里使用路由器上網(wǎng)就安全嗎?此次節(jié)目還實(shí)際演示了一次路由器劫持及網(wǎng)絡(luò)欺詐過(guò)程。
據(jù)趙昱表示,黑客攻擊家用路由器一般有三個(gè)步驟:第一,破解網(wǎng)民家里的WiFi密碼;第二,接入WIFI之后,再破解路由器管理后臺(tái)的賬號(hào)和密碼,獲得路由器管理權(quán);最后,在路由器中植入后門(mén)程序,竊取網(wǎng)民上網(wǎng)信息,或者篡改路由器DNS設(shè)置,使得網(wǎng)民在不知情的情況下訪(fǎng)問(wèn)釣魚(yú)欺詐網(wǎng)站。
如節(jié)目所測(cè)試,被攻擊的網(wǎng)民打開(kāi)淘寶網(wǎng)站時(shí),總會(huì)跳轉(zhuǎn)到一個(gè)“淘寶10周年夢(mèng)想創(chuàng)業(yè)基金活動(dòng)”的官方網(wǎng)站。該網(wǎng)站提示網(wǎng)民輸入淘寶賬號(hào)、真實(shí)姓名、身份證號(hào)碼、詳細(xì)地址、甚至銀行卡資料等一系列信息。如果網(wǎng)民稍不留意很難辨認(rèn)出所謂的官方網(wǎng)站實(shí)為釣魚(yú)網(wǎng)站。一旦按提示輸入,那么用戶(hù)隱私信息就會(huì)被黑客竊取,有可能威脅資金安全。
整個(gè)攻擊過(guò)程僅需十分鐘,普通網(wǎng)民可能根本感覺(jué)不到異常。更值得擔(dān)憂(yōu)的是,這些攻擊方法早已成為了網(wǎng)上的熱搜詞。在網(wǎng)上搜索“WIFI密碼破解”,可以搜到約300萬(wàn)個(gè)結(jié)果,它們有的提供破解方法,有的提供破解軟件,甚至還有講解視頻。這些本不該有的內(nèi)容就成為普通網(wǎng)民路由器失守的關(guān)鍵。
金山毒霸安全工程師李鐵軍表示,多數(shù)網(wǎng)民缺乏一些相關(guān)的安全意識(shí),路由器管理后臺(tái)的初始登錄賬戶(hù)和密碼從不曾修改,這也給了惡意攻擊者可乘之機(jī)。
五大WIFI安全使用建議為安全上網(wǎng)保駕護(hù)航
WIFI是普通網(wǎng)民高速上網(wǎng)、節(jié)省流量資費(fèi)的重要方式,雖然面臨一些安全陷阱,但不可能因噎廢食。金山毒霸安全工程師為此提供了五大安全使用建議。
第一,謹(jǐn)慎使用公共場(chǎng)合的WIFI熱點(diǎn)。官方機(jī)構(gòu)提供的而且有驗(yàn)證機(jī)制的WiFi,可以找工作人員確認(rèn)后連接使用。其他可以直接連接且不需要驗(yàn)證或密碼的公共WiFi風(fēng)險(xiǎn)較高,背后有可能是釣魚(yú)陷阱,盡量不使用。
第二,使用公共場(chǎng)合的WIFI熱點(diǎn)時(shí),盡量不要進(jìn)行網(wǎng)絡(luò)購(gòu)物和網(wǎng)銀的操作,避免重要的個(gè)人敏感信息遭到泄露,甚至被黑客銀行轉(zhuǎn)賬。
第三,養(yǎng)成良好的WIFI使用習(xí)慣。手機(jī)會(huì)把使用過(guò)的WIFI熱點(diǎn)都記錄下來(lái),如果WiFi開(kāi)關(guān)處于打開(kāi)狀態(tài),手機(jī)就會(huì)不斷向周邊進(jìn)行搜尋,一旦遇到同名的熱點(diǎn)就會(huì)自動(dòng)進(jìn)行連接,存在被釣魚(yú)風(fēng)險(xiǎn)。因此當(dāng)我們進(jìn)入公共區(qū)域后,盡量不要打開(kāi)WIFI開(kāi)關(guān),或者把WiFi調(diào)成鎖屏后不再自動(dòng)連接,避免在自己不知道的情況下連接上惡意WIFI。
第四,家里路由器管理后臺(tái)的登錄賬戶(hù)、密碼,不要使用默認(rèn)的admin,可改為字母加數(shù)字的高強(qiáng)度密碼;設(shè)置的WIFI密碼選擇WPA2加密認(rèn)證方式,相對(duì)復(fù)雜的密碼可大大提高黑客破解的難度。
第五,不管在手機(jī)端還是電腦端都應(yīng)安裝安全軟件。對(duì)于黑客常用的釣魚(yú)網(wǎng)站等攻擊手法,安全軟件可以及時(shí)攔截提醒。金山毒霸正在內(nèi)測(cè)的“路由管理大師”功能,還能有效防止家用路由器遭到攻擊者劫持,防止網(wǎng)民上網(wǎng)裸奔。