免費WiFi魚龍混雜,無線WiFi極易被“山寨”,真假WiFi很難辨別真?zhèn)危脩艉苋菀咨袭敗U{查發(fā)現(xiàn),大部分網民對公共場所免費WiFi缺乏安全防范意識,從而讓黑客有可乘之機。
3月15日晚間,央視315晚會上曝出公共場所免費WiFi存有安全隱患,并現(xiàn)場為觀眾演示了利用免費WiFi截獲觀眾傳輸的照片及電子郵箱密碼。專家指出,公共場所WiFi安全問題由來已久,該類WiFi安全措施較差,黑客可輕易“拿下”,并通過網絡監(jiān)聽、密碼攻擊、會話劫持、腳本注入和后門植入等方式進行攻擊。屆時,不但可盜取連接該WiFi用戶的照片和電子郵箱密碼,同時,微博、微信、淘寶,甚至是網銀的賬號密碼都有可能會被黑客截獲。
國內八成WiFi 能被輕易破解
據《2015年中國WiFi安全綠皮書》顯示,2014年國內的公共WiFi迎來了爆發(fā)式增長。截至目前,國內WiFi公共熱點數量約為650萬個,運營商WiFi熱點超過520萬個,商業(yè)公共WiFi熱點約100萬個,另有約20萬政府公共WiFi熱點,超過1億個家用WiFi熱點。
場所開始出現(xiàn)免費WiFi,使用者無需密碼,即可使智能手機等移動終端連入當前網絡。
信息安全專家、國際關系學院信息科技系副主任王標說,調查顯示,目前大多數公共場所的免費WiFi普遍缺少安全防護措施,黑客能輕松通過WiFi給手機、電腦推送彈窗廣告、木馬病毒,還可能盜取QQ、微信賬號密碼、個人隱私信息等。
360此前調查顯示,國內80%的WiFi能被輕易破解。這些被測試者的WiFi多使用了簡單數字組合的弱密碼,一般15分鐘內即可被破解。而在全國約有3.3%的家庭WiFi密碼使用低級加密方式,也就是說,有超過400萬家用WiFi密碼設置不安全,平均每天有約8.03%WiFi遭受DNS攻擊。半年時間國內就有9.5%WiFi實際遭遇了蹭網侵害。按照全國約1億臺無線路由器的市場規(guī)模估算,被蹭網的WiFi數量高達950萬個,而我國上網資費平均每年為1000元左右,帶來的網費損失每年多達50億元。
專家模擬黑客
3分鐘獲取用戶信息
雖然你的QQ空間里私密相冊設置了瀏覽權限,卻還是被偷窺;你的微博不知不覺已經轉載和發(fā)布了你并不知曉的議論和圖片……當遭遇到這樣的情況時,你的隱私已經被黑客一覽無余了。
網絡安全研究員劉彥碩向記者演示了黑客在公共WiFi條件之下,是如何竊取用戶隱私的。
劉彥碩表示,“黑客和一個普通網民,聯(lián)接的是同一個WiFi,然后普通網民在進行一個上網的操作,比如逛一些微博,上一下人人網、QQ空間,黑客可以監(jiān)聽同一個局域網內所有的流量,可以看出來他在做什么,也可以查看對方的隱私。”
劉彥碩向記者模擬了在公共場所中連接同一個WiFi上,用戶遭遇黑客攻擊的全過程。首先記者用筆記本電腦進行網頁瀏覽,并登錄QQ,打開了QQ空間。劉彥碩用手機也連上這個WiFi,打開黑客攻擊軟件后,記者的電腦IP地址被掃描發(fā)現(xiàn)。
“選擇這個需要‘劫持’的這臺設備,然后會話‘劫持’,再點擊‘開始’,這個攻擊軟件就已經對對方的電腦進行一個‘劫持’攻擊了。”劉彥碩邊演示邊介紹說。不到三分鐘的時間,黑客軟件成功檢測到記者使用電腦所瀏覽網頁的全部記錄。劉彥碩點擊軟件中顯示的QQ網站,居然可以不用輸入任何的用戶名和密碼,直接進入記者的QQ空間。
在短短的3分鐘時間內,劉彥碩就成功地利用黑客軟件進行了微博以及QQ相冊的劫持,而整個操作的過程,他使用的只是一部手機。
虛假WiFi釣魚
當前主要安全風險
許多商家為招攬客戶,會提供WiFi接入服務,客人發(fā)現(xiàn)WiFi熱點,一般會找服務員索要連接密碼。黑客就提供一個名字與商家類似的免費WiFi接入點,吸引網民接入。
濟南市民李先生近日在車站附近蹭WiFi網時發(fā)現(xiàn),手機網絡中同時出現(xiàn)了幾個WIFI熱點,圖方便的李先生懶得去問商家密碼,就直接選擇了一個WiFi,并且試著輸入了“admin”,結果一下就通了,李先生暗自竊喜自己就是破解大師。沒想到隨之而來的麻煩,給李先生上了一課。他反映,手機中了惡意扣費病毒,隨即數秒內卡內話費歸零。“幸好我只有幾十元的話費,否則就損失大了!”
騰訊手機管家安全專家給出了“虛假WiFi釣魚”的解釋,所謂虛假WiFi釣魚,是指犯罪分子通過架設一個與某公共WiFi熱點同名的WiFi網絡,吸引用戶通過移動設備接入該網絡,然后就可以通過分析軟件竊取這些接入虛假WiFi熱點用戶的資料,包括WiFi登錄密碼,從而成功破譯。而且通過這一手段,還能竊取到用戶的銀行賬戶、網絡支付賬戶密碼,從而實施資金的盜刷。
一旦連接到黑客設定的WiFi熱點,你上網的所有數據包,都會經過黑客設備轉發(fā),這些信息都可以被截留下來分析,一些沒有加密的通信就可以直接被查看。于是,你在免費上網,就如同在互聯(lián)網上裸奔。黑客可以知道你上網買了什么東西,在朋友圖看了什么圖片和視頻,還可以冒用你的身份去發(fā)微博,查看你和朋友聊天的私信。
接入點被偷梁換柱
山寨WiFi防不勝防
除了偽裝一個和正常WiFi接入點雷同的WiFi陷阱,攻擊者還可以創(chuàng)建一個和正常WiFi名稱完全一樣的接入點,這被稱為“山寨WiFi”。比如,你在喝咖啡,另一個人在你附近也在喝咖啡,由于咖啡廳的無線路由器信號覆蓋不夠穩(wěn)定,你的手機會自動連接到攻擊者創(chuàng)建的WiFi熱點。在你完全沒有察覺的情況下將掉落陷阱。
“搭建一個免費WiFi熱點,技術上并不復雜。”瑞星公司安全專家唐威說,從理論上看,只需要一臺電腦、一套無線路由器及從網上下載一個網絡分析軟件就可以截取用戶數據。
唐威說,上免費WiFi的一個隱患就是可能落入黑客自行搭建的“黑網”。黑客通過搭建一個與公共WiFi很相近的名字,比如,模仿星巴克(Starbucks),搭建一個名為Starbucks01的WiFi熱點,不用登錄密碼,誘使用戶進入。用戶在這種“黑網”操作時,傳輸的數據可被第三方監(jiān)視,如果登錄賬戶,黑客可以從數據包里查到用戶登錄信息,竊取個人郵箱、電子商務賬號等信息。
此外,免費WiFi也給黑客植入釣魚網站提供了便利。通過相關技術,黑客可以在用戶瀏覽網站時植入一段HTML代碼,使其自動跳轉到釣魚網站。如果此時登錄銀行、支付寶等進行電子商務交易,用戶可能會有經濟損失。
針對網絡上盛傳的運營商公共WiFi免費登錄卡號和密碼(如中國移動卡號:15821275836,密碼:159258;卡號:15800449592,密碼:159258)等信息,唐威表示,人們轉載上述信息,其實并沒有很好地去驗證、甄別。實際上,這些所謂的免費賬號不可信,有些根本不能用,此外,第三方軟件發(fā)送的免費登錄賬號和密碼存在很大的安全隱患,用戶要盡量避免使用。
“蹭網”軟件要慎用
否則得不償失
目前在網絡上流傳一些可破解WiFi密碼的“蹭網”軟件。試想一下,如果有一款手機軟件聲稱可以幫您“蹭網”,走到哪兒都有免費WiFi,相信很多人都會對這款軟件產生極大的興趣,更是迫不及待的下載使用。然而這樣的“蹭網神器”真的安全嗎?看似方便好用的背后難道沒有隱患嗎?
張姓業(yè)內人士告訴記者,“天下沒有免費的午餐,蹭網軟件背后的風險當然有!只是很多人不知道罷了。看似自己占了別人便宜,實際上真不一定。”
他表示,蹭網軟件的原理其實是當你第一次安裝并打開這個軟件時,在引導頁就會自動勾選分享熱點,并自動備份,那么用戶很可能就在不察覺的情況下選擇同意將曾使用的WiFi密碼分享到云端。這樣當用戶回到自己家中,連上自家WiFi的時候,密碼就被自動共享出去了,也就是說你蹭了人家的網,同時把自家的網也貢獻出去了。
其實,如果說單單是被人蹭網也就算了,更令人擔心的是,連接WiFi上后會產生很多安全風險,例如預謀者對連在網絡內的手機、電腦等設備進行監(jiān)控,植入木馬和病毒,竊取銀行、支付寶等密碼。丟了網又丟了財,真的是得不償失,看來蹭網軟件要慎用。
京公網安備 11010502049343號