用來偽造熱點的電路板。

“看我們是如何黑掉seu-wlan的……”昨天中午，東南大學九龍湖校區上演“百團大戰”，近130個社團招攬新生。走在大學生活動中心附近，不少同學用手機登錄校園無線網后，驚訝發現收到了一封來自“黑客”的信，他們歡樂留言：“對網絡安全（你懂的）感興趣的同學快快聯系我們吧。”虛驚一場！原來這是東大“網絡安全聯盟”在“秀技”招新。

最牛廣告

黑掉校園無線網“炫技”

昨天中午，東大九龍湖校區2015年“社團招新”吸引了大批學生圍觀。大學生活動中心廣場上，不少同學驚訝發現，手機連接無線網“seu-wlan”，輸入用戶名和密碼后，跳出一張“奇怪”的頁面，大標題是“看我們是如何黑掉seu-wlan的”，相當霸氣。文末留言：“如有任何疑問和想法，歡迎來98號位交流，同時想查看源碼的同學也歡迎來玩。”原來是廣告帖。

記者“按圖索驥”找到這家外表頗為低調的“網絡安全聯盟”。聯盟的會長、東大信息科學與工程學院大三劉延棟大方向記者展示“黑”掉校園無線網的裝備：一塊電路板，上面貼了十幾塊芯片，摸上去燙手。“這是我搭建的虛假的seu-wlan無線熱點，短短幾分鐘，就有100多臺移動設備接入。”在計算機后臺，清楚記錄著每一名登錄者的幾串代碼，“這些符號暴露了手機的系統和MAC地址。”

咋實現的

偽造無線網登錄界面

記者隨后嘗試用手機連接東大校園無線網，第一個跳出的熱點是“seu-wlan”，字母及大小寫與東大校園無線網的名稱一模一樣。點擊連接后，手機頁面跳出了登錄框，需要用戶輸入用戶名和賬號。在劉延棟的“指點”下，記者隨便輸了用戶名密碼，點擊登錄，等待十幾秒，跳出了“黑客”的一封信。

“我們使用 raspberry pi 偽造了校園無線網的登錄界面，使其看起來和正常熱點完全一樣。但這是虛擬的釣魚網站，登錄過程中，用戶名和密碼被記錄了下來。”劉延棟告訴記者，制作這樣一套系統前后花了2天課余時間，“從技術上說非常簡單。”他解釋說，無線設備會根據無線SSID選擇環境中信號強度較好的信號源。“我們偽造了seu-wlan熱點，在很多場合，信號強度都會大于源信號的強度，因此很多設備會被劫持到我們搭設的熱點上。”

社團揭秘

他們自稱“白帽子黑客”

社團成員張書睿說，偽造靜態的登錄頁面是最基本的“黑客技術”。東大“網絡安全聯盟”臥虎藏龍，“黑客”們還有更高端的“招數”。比如進行隱蔽的信息搜集，向有漏洞的移動設備投送木馬，控制接入的移動設備，對訪問的流量進行劫持，窺探其上網的動作等。“大家因為對黑客技術感興趣聚在一起，經常切磋。”

張書睿告訴記者，東大“網絡安全聯盟”有幾十名會員，大部分為男生也有女生，成員并非大家印象中的會惡意破壞網絡、侵入電腦。他們更愿意管自己叫“白帽子黑客”。“和黑客的惡意攻擊不同，‘白帽子’是善意的，發現漏洞都會及時提交給網站，建議或幫助網站進行修補，就像醫生診斷治療疾病。我們不會做違法的事，這一點很關鍵。”

張書睿透露，東大“網絡安全聯盟”有一名已畢業的老會員，找到某商業網站的漏洞，對方獎勵了500美元。

特別提醒

別輕易設置手機 無線網“自動連接”

“設計這次演練，想提醒大家提高對網絡安全的重視。” 劉延棟建議說，手機不要輕易連接陌生的無線網絡。

如果已經連上了虛假熱點，是否有辦法識別是真的熱點還是釣魚熱點呢？劉延棟推薦了幾種甄別方案。第一種，隨手輸入用戶名、密碼，看看反應如何。如果測試中熱點會跳轉到異常頁面，證明此熱點是釣魚熱點。還有種辦法，“https 查看url前的協議是否為https，https表示為安全的http，在傳輸過程中對http流量進行了加密，因此較為安全。但是，如果前期沒有處理好，攻擊者完全可以將流量解密為明文流量，結論還是有漏洞。”

有這樣一句話，互聯網并不安全，你沒被黑很可能是你還沒有被黑的價值。“在支付等關鍵操作時盡量不使用公共熱點，同時保持適當的警惕性，察覺到異常時及時更換密碼，一般就沒有問題了。”