隨著我國公共場所免費wifi的不斷增多,蹭個網、轉個賬、淘個寶等,成為不少網民的習慣動作。然而,由于免費wifi存在路由器和網絡漏洞,往往成為黑客攻擊的對象。據騰訊移動安全實驗室工程師陳湘玲介紹,在公共場所接入免費wifi的安全風險包括:用戶的社交軟件賬號、密碼被劫持和惡意利用;手機或電腦中的文件及照片等個人信息泄露;用戶網銀和支付寶等移動支付的資金被盜刷等。艾媒咨詢ceo張毅說,餐飲店、酒店、咖啡廳等商家是wifi的高風險區。“一根網線加一臺無線路由器組成的免費wifi,往往‘后門’大開,沒有安全防范設置,為黑客打開了方便之門。”
根據2014年某機構對全國8萬個公共wifi熱點進行的抽樣調查,有21%的公共熱點存在風險,其中絕大多數wifi熱點加密方式不安全。
在騰訊公司的wifi風險實驗室,陳湘玲向記者演示了黑客的“三大陰招”:
1、域名劫持。在實驗室,記者用手機連上了一個不設密碼的wifi后,輸入正確的工商銀行網站,跳出的網頁卻是個與之相似度很高的山寨釣魚網站。
陳湘玲說,在當前的wifi環境下,她可以進入無線路由器的管理后臺,并對域名系統進行修改。當記者輸入工行網址時,服務器直接把ip跳到她設置的工行釣魚網站。
2、釣魚wifi。陳湘玲說,黑客往往選擇在繁華商業區構建一個不加密的wifi,并把wifi的名字起為“cmcc”、“kfc”等眾所周知的熱點名稱,引誘網民“上鉤”。
值得關注的是,架設一個釣魚虛假wifi毫不費力,黑客只要把一個3g網卡插入到便攜迷你無線路由器,就能釋放wifi信號。設置好無線路由和網絡共享后,黑客“就能喝著咖啡守株待兔了。”
3、arp(地址解析協議)欺騙。陳湘玲和記者各自用手機連接了同一個wifi,記者登陸了自己的新浪微博開始瀏覽,陳湘玲則在其手機上打開了一款黑客軟件。記者看到,該黑客軟件很快就進入路由器的web管理界面,并將記者的手機信息讀取出來。
陳湘玲在其手機上發出一條微博測試,不到5秒鐘,記者手機上就顯示了這條“新微博”。“這意味著,你在手機上的所有操作我都能一覽無余。這樣的會話劫持軟件在網上可以輕易下載。”陳湘玲說。
張毅認為,當前免費wifi服務的接入標準不一,存在安全隱患。通信管理部門應該建立公共wifi的準入和審批備案制度,以保障用戶信息和資金安全。
專家建議,用戶登錄公共wifi時,一是不要盲目地“見網就連”,防止釣魚的虛假wifi;二是不要進行網購和網銀操作,避免個人信息的泄露。“有的用戶習慣于wifi開關設置在打開狀態,這會導致手機自動連接,存在很大風險。”陳湘玲說。
專家提醒,當用戶發現賬戶被劫持后,應在第一時間退出賬戶,隨后退出wifi。如果直接退網而不先退出賬戶,緩存的網絡數據則不會被清空,將導致黑客可以繼續操控用戶。
京公網安備 11010502049343號