近年,隨著智能手機的普及,出門蹭WiFi也成了普遍現(xiàn)象。有些市民還經(jīng)常在公共WiFi環(huán)境中使用手機支付功能,但在不安全的WiFi環(huán)境中,銀行賬號等隱私信息可被黑客輕易獲取。昨日本市手機安全專家現(xiàn)場演示了如何在公共WiFi中輕松植入釣魚網(wǎng)站和竊取賬戶信息,專家只用3分鐘的時間就在WiFi環(huán)境中植入了釣魚網(wǎng)站,輕松獲取到記者的銀行賬號和密碼。 360手機安全專家提醒說,不要輕易在公共WiFi環(huán)境中使用支付功能,需要購物時最好是回到家中或使用2G、3G、4G網(wǎng)絡(luò)進(jìn)行支付。
真的很危險
手機上輸入啥 黑客電腦便顯示啥
智能手機現(xiàn)在已成為人們不可缺少的電子設(shè)備,為了節(jié)省流量費用,不少年輕人經(jīng)常要尋找免費WiFi。但在公共WiFi環(huán)境中,你的賬號信息不經(jīng)意間就會被黑客竊取。
據(jù)央視報道,今年國內(nèi)曾發(fā)生多起銀行卡被莫名盜刷的情況,不少受害者都表示,在銀行卡被盜刷時,銀行卡和口令卡均在身邊,手機也沒有收到相關(guān)賬戶變動信息,但是在銀行卡被盜刷前均使用過免費WiFi。近期,本市也發(fā)生多起銀行卡被盜刷的事件。對此,有手機安全專家表示,WiFi雖然提供了免費上網(wǎng)的便利條件,但是卻存在很大的安全漏洞。使用免費的公共WiFi,特別是無密碼WiFi時,容易陷入黑客設(shè)置的釣魚網(wǎng)站或泄露賬戶信息。昨天本報邀請了本市手機安全專家進(jìn)行了現(xiàn)場演示,模擬黑客如何在WiFi環(huán)境中盜取賬戶信息。結(jié)果不到5分鐘的時間,專家就輕而易舉地獲取到記者的賬號和密碼。
演示背景
一臺電腦一個路由器搭建WiFi環(huán)境
在演示之前,專家先準(zhǔn)備了一臺筆記本電腦和一個常見的路由器和兩個軟件。首先將電腦連接互聯(lián)網(wǎng),再將電腦與路由器連接,通過筆記本電腦的網(wǎng)絡(luò)分享制造出一個無密碼的WiFi環(huán)境,手機用戶在該環(huán)境中可以自由登錄互聯(lián)網(wǎng)。同時,專家還用軟件設(shè)計了一個假想的“釣魚網(wǎng)站”。在演示的過程中,專家通過WiFi環(huán)境植入釣魚網(wǎng)站,并獲取記者的賬號和密碼,這樣不到5分鐘,演示環(huán)境即設(shè)置完成。
演示1:輸入銀行官網(wǎng)網(wǎng)址 會登錄釣魚網(wǎng)站
第一個演示叫“域名劫持”。演示開始時,專家先向記者提供了一個完全無誤的銀行官網(wǎng)網(wǎng)址,演示時他將使用軟件對該網(wǎng)址的域名進(jìn)行修改。修改成功后,該WiFi環(huán)境的手機用戶只要登錄這個銀行網(wǎng)址,就會自動將網(wǎng)址跳轉(zhuǎn)至專家提前設(shè)計的“釣魚網(wǎng)站”。專家表示,一般的黑客會設(shè)計出與銀行、購物等網(wǎng)站相同的界面,用戶登錄該界面時很難察覺,一旦使用支付功能,銀行卡內(nèi)的錢就會神不知鬼不覺地跳轉(zhuǎn)至黑客的賬戶。
隨后,專家在筆記本電腦上打開一個軟件,并使用該軟件對銀行官網(wǎng)的域名解析進(jìn)行修改,不到2分鐘即修改完畢。這時,記者開始在手機瀏覽器上輸入正確的銀行官網(wǎng)網(wǎng)址,記者先后進(jìn)行了5次操作,該官網(wǎng)都自動跳轉(zhuǎn)至專家之前設(shè)計好的“釣魚網(wǎng)站”。
演示2:通過“抓包”獲得賬戶密碼信息
近期不少受害者都表示,銀行卡在未離身的情況下,還是被盜刷了不少錢,接下來的實驗將解釋這一現(xiàn)象。這個演示叫“抓包”,專家使用“抓包軟件”,3分鐘即獲取了記者的賬戶和密碼。
實驗開始時,專家在筆記本電腦上打開一個“抓包”軟件,只進(jìn)行了非常簡單的幾步操作就設(shè)置成功。此時,記者開始登錄某網(wǎng)站,并先后5次輸入賬號和密碼信息。實驗結(jié)果是,每次輸入以后,賬號和密碼信息都無一遺漏地出現(xiàn)在筆記本電腦的“抓包”軟件中。
專家表示,比較專業(yè)的網(wǎng)站都會有密碼保護(hù)措施,會以加密形式傳輸。黑客竊取到賬號密碼后,會對密碼進(jìn)行解讀,有時會通過暴力破解的方式,將常規(guī)密碼一一進(jìn)行測試,多數(shù)密碼都可被解讀。
[page]
如何來防范
手機支付時別蹭網(wǎng) 用自己的流量
使用公共WiFi都會有哪些危險
360手機安全專家艾先生表示,公共WiFi存在的危險因素主要有三種:
1. 如果公共WiFi被黑客植入
釣魚網(wǎng)站,手機用戶在該環(huán)境中支付時就可能會將錢轉(zhuǎn)入黑客的賬戶。由于黑客設(shè)計的“釣魚網(wǎng)站”與正確的網(wǎng)址界面基本無異,所以很難察覺。
2. 在不安全的WiFi環(huán)境中,
黑客可通過“抓包”軟件獲取用戶的賬號和密碼等信息,進(jìn)而盜刷用戶的銀行卡。
3. 黑客可使用“聽包”軟件,
在近距離內(nèi),通過WiFi無線電波,輕易獲取用戶的聊天記錄、賬戶信息等。“聽包”這種技術(shù)相對有些難度,但是給用戶造成的損失也是最大的。
手機支付時最好用2G、3G、4G等安全網(wǎng)絡(luò)
艾先生表示,目前在廣場、車站、餐廳等場所均設(shè)有免費的WiFi供市民使用。黑客會在公共場所也搭建無密碼的WiFi,或設(shè)置一個名稱與車站、餐廳等近似的WiFi名稱,這樣用戶就會毫無防備地陷入黑客的陷阱。
那么如何避免這種情況出現(xiàn)呢?艾先生說,首先要盡量不使用不明來源的WiFi,尤其是不需要密碼的WiFi。如果使用商家提供的免費WiFi網(wǎng)絡(luò),最好主動向商家詢問WiFi的具體名稱,以免不小心連接黑客搭建的WiFi。二是,不要輕易在WiFi網(wǎng)絡(luò)環(huán)境下進(jìn)行支付,如果需要支付,最好是回到家中或使用2G、3G、4G等安全網(wǎng)絡(luò)進(jìn)行支付操作。三是最好關(guān)閉WiFi自動連接的功能。如果這項功能打開的話,手機在進(jìn)入有WiFi網(wǎng)絡(luò)的區(qū)域就會自動掃描,并連接上不設(shè)密碼的WiFi網(wǎng)絡(luò),這就會增加用戶誤連釣魚WiFi的概率,為了一時方便而留下安全隱患。
[page]
不要輕易對手機進(jìn)行“越獄”操作
昨天,艾先生還提醒說,不少手機用戶因誤入釣魚網(wǎng)站而遭受經(jīng)濟損失,所以平時用戶要注意手機的使用安全,對別人發(fā)來的“中獎”、“特大優(yōu)惠”等有誘惑力的信息要多留心,不要輕易點擊信息中的鏈接地址,這些鏈接多數(shù)是釣魚網(wǎng)站;另外,要通過正規(guī)渠道購買手機,從小店購買的手機可能在出售前被植入“木馬”、“吸費”等軟件;最后,最好不要對手機進(jìn)行Root(或越獄),Root(或越獄)以后手機的操作權(quán)限雖然變大,但是安全系數(shù)會降低,可隨意安裝各種不同的惡意軟件。
定期修改家中WiFi密碼
市民家中的WiFi同樣也存在不安全因素。今年有多種路由器產(chǎn)品被爆存在后門漏洞,另外,市面上還出售各種WiFi密碼破解軟件。一旦WiFi密碼被破解,市民面臨的不只是蹭網(wǎng)的問題,還可能因此遭受經(jīng)濟上的損失,所以即使在家中也要盡量使用2G、3G、4G等安全網(wǎng)絡(luò)進(jìn)行支付操作。“為了安全,市民最好定期修改家中的WiFi密碼,并關(guān)閉互聯(lián)網(wǎng)直接訪問路由器的權(quán)限。 ”安全專家表示。