免費WiFi魚龍混雜,無線WiFi極易被“山寨”,真假WiFi很難辨別真?zhèn)?,用戶很容易上當。調(diào)查發(fā)現(xiàn),大部分網(wǎng)民對公共場所免費WiFi缺乏安全防范意識,從而讓黑客有可乘之機。
3月15日晚間,央視315晚會上曝出公共場所免費WiFi存有安全隱患,并現(xiàn)場為觀眾演示了利用免費WiFi截獲觀眾傳輸?shù)恼掌半娮余]箱密碼。專家指出,公共場所WiFi安全問題由來已久,該類WiFi安全措施較差,黑客可輕易“拿下”,并通過網(wǎng)絡(luò)監(jiān)聽、密碼攻擊、會話劫持、腳本注入和后門植入等方式進行攻擊。屆時,不但可盜取連接該WiFi用戶的照片和電子郵箱密碼,同時,微博、微信、淘寶,甚至是網(wǎng)銀的賬號密碼都有可能會被黑客截獲。
國內(nèi)八成WiFi 能被輕易破解
據(jù)《2015年中國WiFi安全綠皮書》顯示,2014年國內(nèi)的公共WiFi迎來了爆發(fā)式增長。截至目前,國內(nèi)WiFi公共熱點數(shù)量約為650萬個,運營商WiFi熱點超過520萬個,商業(yè)公共WiFi熱點約100萬個,另有約20萬政府公共WiFi熱點,超過1億個家用WiFi熱點。
場所開始出現(xiàn)免費WiFi,使用者無需密碼,即可使智能手機等移動終端連入當前網(wǎng)絡(luò)。
信息安全專家、國際關(guān)系學院信息科技系副主任王標說,調(diào)查顯示,目前大多數(shù)公共場所的免費WiFi普遍缺少安全防護措施,黑客能輕松通過WiFi給手機、電腦推送彈窗廣告、木馬病毒,還可能盜取QQ、微信賬號密碼、個人隱私信息等。
360此前調(diào)查顯示,國內(nèi)80%的WiFi能被輕易破解。這些被測試者的WiFi多使用了簡單數(shù)字組合的弱密碼,一般15分鐘內(nèi)即可被破解。而在全國約有3.3%的家庭WiFi密碼使用低級加密方式,也就是說,有超過400萬家用WiFi密碼設(shè)置不安全,平均每天有約8.03%WiFi遭受DNS攻擊。半年時間國內(nèi)就有9.5%WiFi實際遭遇了蹭網(wǎng)侵害。按照全國約1億臺無線路由器的市場規(guī)模估算,被蹭網(wǎng)的WiFi數(shù)量高達950萬個,而我國上網(wǎng)資費平均每年為1000元左右,帶來的網(wǎng)費損失每年多達50億元。
專家模擬黑客
3分鐘獲取用戶信息
雖然你的QQ空間里私密相冊設(shè)置了瀏覽權(quán)限,卻還是被偷窺;你的微博不知不覺已經(jīng)轉(zhuǎn)載和發(fā)布了你并不知曉的議論和圖片……當遭遇到這樣的情況時,你的隱私已經(jīng)被黑客一覽無余了。
網(wǎng)絡(luò)安全研究員劉彥碩向記者演示了黑客在公共WiFi條件之下,是如何竊取用戶隱私的。
劉彥碩表示,“黑客和一個普通網(wǎng)民,聯(lián)接的是同一個WiFi,然后普通網(wǎng)民在進行一個上網(wǎng)的操作,比如逛一些微博,上一下人人網(wǎng)、QQ空間,黑客可以監(jiān)聽同一個局域網(wǎng)內(nèi)所有的流量,可以看出來他在做什么,也可以查看對方的隱私。”
劉彥碩向記者模擬了在公共場所中連接同一個WiFi上,用戶遭遇黑客攻擊的全過程。首先記者用筆記本電腦進行網(wǎng)頁瀏覽,并登錄QQ,打開了QQ空間。劉彥碩用手機也連上這個WiFi,打開黑客攻擊軟件后,記者的電腦IP地址被掃描發(fā)現(xiàn)。
“選擇這個需要‘劫持’的這臺設(shè)備,然后會話‘劫持’,再點擊‘開始’,這個攻擊軟件就已經(jīng)對對方的電腦進行一個‘劫持’攻擊了。”劉彥碩邊演示邊介紹說。不到三分鐘的時間,黑客軟件成功檢測到記者使用電腦所瀏覽網(wǎng)頁的全部記錄。劉彥碩點擊軟件中顯示的QQ網(wǎng)站,居然可以不用輸入任何的用戶名和密碼,直接進入記者的QQ空間。
在短短的3分鐘時間內(nèi),劉彥碩就成功地利用黑客軟件進行了微博以及QQ相冊的劫持,而整個操作的過程,他使用的只是一部手機。
虛假WiFi釣魚
當前主要安全風險
許多商家為招攬客戶,會提供WiFi接入服務(wù),客人發(fā)現(xiàn)WiFi熱點,一般會找服務(wù)員索要連接密碼。黑客就提供一個名字與商家類似的免費WiFi接入點,吸引網(wǎng)民接入。
濟南市民李先生近日在車站附近蹭WiFi網(wǎng)時發(fā)現(xiàn),手機網(wǎng)絡(luò)中同時出現(xiàn)了幾個WIFI熱點,圖方便的李先生懶得去問商家密碼,就直接選擇了一個WiFi,并且試著輸入了“admin”,結(jié)果一下就通了,李先生暗自竊喜自己就是破解大師。沒想到隨之而來的麻煩,給李先生上了一課。他反映,手機中了惡意扣費病毒,隨即數(shù)秒內(nèi)卡內(nèi)話費歸零。“幸好我只有幾十元的話費,否則就損失大了!”
騰訊手機管家安全專家給出了“虛假WiFi釣魚”的解釋,所謂虛假WiFi釣魚,是指犯罪分子通過架設(shè)一個與某公共WiFi熱點同名的WiFi網(wǎng)絡(luò),吸引用戶通過移動設(shè)備接入該網(wǎng)絡(luò),然后就可以通過分析軟件竊取這些接入虛假WiFi熱點用戶的資料,包括WiFi登錄密碼,從而成功破譯。而且通過這一手段,還能竊取到用戶的銀行賬戶、網(wǎng)絡(luò)支付賬戶密碼,從而實施資金的盜刷。
一旦連接到黑客設(shè)定的WiFi熱點,你上網(wǎng)的所有數(shù)據(jù)包,都會經(jīng)過黑客設(shè)備轉(zhuǎn)發(fā),這些信息都可以被截留下來分析,一些沒有加密的通信就可以直接被查看。于是,你在免費上網(wǎng),就如同在互聯(lián)網(wǎng)上裸奔。黑客可以知道你上網(wǎng)買了什么東西,在朋友圖看了什么圖片和視頻,還可以冒用你的身份去發(fā)微博,查看你和朋友聊天的私信。
接入點被偷梁換柱
山寨WiFi防不勝防
除了偽裝一個和正常WiFi接入點雷同的WiFi陷阱,攻擊者還可以創(chuàng)建一個和正常WiFi名稱完全一樣的接入點,這被稱為“山寨WiFi”。比如,你在喝咖啡,另一個人在你附近也在喝咖啡,由于咖啡廳的無線路由器信號覆蓋不夠穩(wěn)定,你的手機會自動連接到攻擊者創(chuàng)建的WiFi熱點。在你完全沒有察覺的情況下將掉落陷阱。
“搭建一個免費WiFi熱點,技術(shù)上并不復雜。”瑞星公司安全專家唐威說,從理論上看,只需要一臺電腦、一套無線路由器及從網(wǎng)上下載一個網(wǎng)絡(luò)分析軟件就可以截取用戶數(shù)據(jù)。
唐威說,上免費WiFi的一個隱患就是可能落入黑客自行搭建的“黑網(wǎng)”。黑客通過搭建一個與公共WiFi很相近的名字,比如,模仿星巴克(Starbucks),搭建一個名為Starbucks01的WiFi熱點,不用登錄密碼,誘使用戶進入。用戶在這種“黑網(wǎng)”操作時,傳輸?shù)臄?shù)據(jù)可被第三方監(jiān)視,如果登錄賬戶,黑客可以從數(shù)據(jù)包里查到用戶登錄信息,竊取個人郵箱、電子商務(wù)賬號等信息。
此外,免費WiFi也給黑客植入釣魚網(wǎng)站提供了便利。通過相關(guān)技術(shù),黑客可以在用戶瀏覽網(wǎng)站時植入一段HTML代碼,使其自動跳轉(zhuǎn)到釣魚網(wǎng)站。如果此時登錄銀行、支付寶等進行電子商務(wù)交易,用戶可能會有經(jīng)濟損失。
針對網(wǎng)絡(luò)上盛傳的運營商公共WiFi免費登錄卡號和密碼(如中國移動卡號:15821275836,密碼:159258;卡號:15800449592,密碼:159258)等信息,唐威表示,人們轉(zhuǎn)載上述信息,其實并沒有很好地去驗證、甄別。實際上,這些所謂的免費賬號不可信,有些根本不能用,此外,第三方軟件發(fā)送的免費登錄賬號和密碼存在很大的安全隱患,用戶要盡量避免使用。
“蹭網(wǎng)”軟件要慎用
否則得不償失
目前在網(wǎng)絡(luò)上流傳一些可破解WiFi密碼的“蹭網(wǎng)”軟件。試想一下,如果有一款手機軟件聲稱可以幫您“蹭網(wǎng)”,走到哪兒都有免費WiFi,相信很多人都會對這款軟件產(chǎn)生極大的興趣,更是迫不及待的下載使用。然而這樣的“蹭網(wǎng)神器”真的安全嗎?看似方便好用的背后難道沒有隱患嗎?
張姓業(yè)內(nèi)人士告訴記者,“天下沒有免費的午餐,蹭網(wǎng)軟件背后的風險當然有!只是很多人不知道罷了。看似自己占了別人便宜,實際上真不一定。”
他表示,蹭網(wǎng)軟件的原理其實是當你第一次安裝并打開這個軟件時,在引導頁就會自動勾選分享熱點,并自動備份,那么用戶很可能就在不察覺的情況下選擇同意將曾使用的WiFi密碼分享到云端。這樣當用戶回到自己家中,連上自家WiFi的時候,密碼就被自動共享出去了,也就是說你蹭了人家的網(wǎng),同時把自家的網(wǎng)也貢獻出去了。
其實,如果說單單是被人蹭網(wǎng)也就算了,更令人擔心的是,連接WiFi上后會產(chǎn)生很多安全風險,例如預謀者對連在網(wǎng)絡(luò)內(nèi)的手機、電腦等設(shè)備進行監(jiān)控,植入木馬和病毒,竊取銀行、支付寶等密碼。丟了網(wǎng)又丟了財,真的是得不償失,看來蹭網(wǎng)軟件要慎用。