下午3點,天氣晴,本杰明背著他的黑色背包走進了一家咖啡館。這家咖啡館的生意很好,幸運的是他喜歡的那個僻靜角落沒有被人捷足先登。他點了一杯咖啡和一個三明治,禮貌地向服務員詢問了WiFi賬號和密碼,然后熟練地從背包中取出了電腦和一個煙盒大小的黑色盒子,他的“工作”開始了……
公共WiFi風險大
下午3點10分,瑪麗走進了這家咖啡館,她心情不錯,因為今天不用上班。她為自己點了一些甜品,然后掏出手機連上了咖啡館的免費WiFi。她點開網(wǎng)頁,登錄網(wǎng)上商城瀏覽最新的商品,有兩雙漂亮的鞋子吸引了她的目光。到底買哪一雙呢?經(jīng)過反復的對比和復雜的心理斗爭,她終于決定把這兩雙鞋都買回家。可當她準備進行網(wǎng)上支付時,她驚呆了,昨天剛存入商城賬戶里的數(shù)千元錢已經(jīng)不翼而飛!此時她不會注意到,一個背著黑色背包的年輕人默默地走出了咖啡館。
以上情節(jié)不是只在電影里才會出現(xiàn),而是可能隨時發(fā)生在我們身上。近年來,隨著移動互聯(lián)網(wǎng)以及智能終端的迅猛發(fā)展,人們已經(jīng)愛上了隨時隨地上網(wǎng)的暢快體驗,WiFi熱點也因其免費、方便接入等特性而備受歡迎。現(xiàn)在,咖啡館、飯館、酒店和飛機場等公共區(qū)域,公交車、火車甚至飛機等公共交通工具上都能夠提供WiFi熱點接入服務,而且這些公共WiFi大都是免費的??墒?,在人們暢享移動互聯(lián)體驗的同時,信息安全風險也隨之而來。可怕的是,大多數(shù)人對此毫不知情!
百度移動安全部的專家在接受《人民郵電》報記者采訪時指出,調(diào)查顯示,目前我國近80%的手機用戶每天都會連接WiFi,這其中接近10%的WiFi都是沒有設置密碼的,在當前的公共WiFi中,隱藏安全風險的“黑WiFi”比例非常高,甚至遠遠超過了用戶之前比較關(guān)注的手機病毒。很多“黑WiFi”沒有密碼,并且以Starbucks、Airport free等常見的公共WiFi名稱命名。目前,這些公共WiFi已經(jīng)成為了不法分子竊取用戶隱私、騙取用戶錢財?shù)囊粋€新興渠道,需要廣大用戶提高警惕。
事實上,利用公共WiFi作案的門檻極低。360公司的安全專家介紹說,一些不法分子利用網(wǎng)民想免費上網(wǎng)的心理,在公共場合利用一臺電腦、無線上網(wǎng)設備及一個網(wǎng)絡包分析軟件就可搭建一個不設密碼的釣魚WiFi,整個過程只需要十幾分鐘甚至幾分鐘。不法分子可以在網(wǎng)上很容易購買到搭建“黑WiFi”的設備,在國外一款名為“WiFi菠蘿”的此類設備已經(jīng)推出了第五代產(chǎn)品,售價僅為99.99美元,而國內(nèi)也不乏類似產(chǎn)品,一些產(chǎn)品甚至在淘寶等網(wǎng)店上公開銷售,售價僅為300元左右。不法分子甚至可以將任意一款正規(guī)的無線網(wǎng)卡改造成此類設備,成本可低至數(shù)十元。
連上釣魚WiFi后,網(wǎng)民所進行的操作、傳輸?shù)臄?shù)據(jù)都可以被黑客監(jiān)視,黑客可從上網(wǎng)數(shù)據(jù)包里查到網(wǎng)民的登錄信息,從而竊取個人郵箱、社交軟件賬號密碼和照片等信息,還可以截獲網(wǎng)民與網(wǎng)銀、支付寶等財產(chǎn)相關(guān)的驗證碼短信,盜取受害者的資金。即便是設有密碼的WiFi也不一定安全,黑客只需要將釣魚WiFi的賬號和密碼設置成與正規(guī)WiFi熱點一樣(就像上文中本杰明所做的),當網(wǎng)民進入釣魚WiFi的“勢力范圍”后,他們極有可能被信號更強的“冒牌”WiFi所“俘獲”,所以同樣難逃魔爪。
家庭WiFi就安全嗎
近年來,“寬帶中國”戰(zhàn)略的逐步實施使許多家庭接入了寬帶網(wǎng)絡。工信部發(fā)布的《關(guān)于實施“寬帶中國”2015專項行動的意見》提出,2015年我國還要實現(xiàn)寬帶網(wǎng)絡能力的躍升,力爭新增光纖到戶覆蓋家庭8000萬戶,推動一批城市率先成為“全光網(wǎng)城市”。許多家庭為了方便家庭成員使用各類智能終端上網(wǎng),紛紛利用家里的固網(wǎng)寬帶搭建WiFi熱點。據(jù)中國互聯(lián)網(wǎng)絡中心發(fā)布的數(shù)據(jù),2014年我國在家里使用電腦接入互聯(lián)網(wǎng)的城鎮(zhèn)網(wǎng)民中,家庭WiFi的普及比例高達81.1%。許多人認為自己關(guān)起門來,用家里的WiFi上網(wǎng)肯定不會存在安全風險。事實真是這樣嗎?
讀者不妨先回答幾個問題:你是否知道家中無線路由器的管理賬號和密碼,是否更改了初始賬號和密碼?你家中的WiFi熱點是否被加密,采用了何種加密方式?對于以上問題,如果你沒有明確的答案,那么你就要當心了,這意味著你的家庭WiFi隨時都有可能被“黑”。
“我家里的WiFi要輸入密碼才能登錄呀,這還不夠安全嗎?”答案是,不一定。家用的無線路由器一般有兩層密碼,一層是接入WiFi時需輸入的密碼,一層是管理路由器時需要的密碼。許多人只是設置了前者而往往忽視了后者,甚至許多人根本不知道它的存在。而為了使用方便,許多人設置的WiFi接入密碼又非常簡單,如000000、123456或自己的生日等。黑客利用軟件可以很容易地“暴力破解”用戶的密碼。據(jù)360日前發(fā)布的調(diào)查報告,在全國超過1億個家用WiFi中,約有3.3%的WiFi密碼使用低級加密方式,也就是說,有超過400萬的家用WiFi密碼設置不安全。半年時間國內(nèi)就有9.5%的WiFi實際遭遇了蹭網(wǎng)侵害,被蹭網(wǎng)的家庭WiFi數(shù)量高達950萬個,而我國上網(wǎng)資費平均每年為1000元左右,帶來的網(wǎng)費損失每年多達50億元。
更為可怕的是,黑客破解網(wǎng)民的家庭WiFi大多不只是為了蹭網(wǎng)這么簡單。許多網(wǎng)民沒有對家中的無線路由器管理賬號和密碼進行設置(許多路由器的默認賬號和密碼均為“admin”),黑客一旦成功接入網(wǎng)民的WiFi熱點,就可以隨意修改路由器的參數(shù),并進一步入侵接入該WiFi的智能終端,輕而易舉地竊取網(wǎng)民的照片和文件,電子郵箱、社交軟件和游戲的賬號及密碼等隱私信息,進行網(wǎng)上銀行轉(zhuǎn)賬等操作,或者將網(wǎng)民的電腦變?yōu)?ldquo;肉雞”,構(gòu)建“僵尸網(wǎng)絡”等。
第一代“WiFi菠蘿”(左)因裝在一個形似菠蘿的盒子里而得名,而現(xiàn)在的第五代產(chǎn)品(右)只有煙盒大小,隱蔽性很強。
“蹭網(wǎng)神器”暗藏玄機
現(xiàn)在,互聯(lián)網(wǎng)思維在各行各業(yè)都受到了熱捧,雖然各方對其解讀眾說紛紜,但“免費”和“共享”無疑是其最典型的兩個特征。一些應用開發(fā)者就嗅到了免費WiFi所蘊藏的商機,紛紛推出可以幫助用戶免費“蹭WiFi”的各類應用軟件。WiFi萬能鑰匙、萬能WiFi鑰匙、WiFi鑰匙萬能工具箱等此類軟件一經(jīng)推出就大受廣大網(wǎng)民歡迎。在國內(nèi)一家知名的安卓應用商店,WiFi萬能鑰匙的下載量達到了驚人的2.19億次(這僅僅是一家應用商店的下載量)。許多人沒有意識到,此類軟件隱藏著巨大的信息安全風險。
在使用方法上,此類軟件大同小異,當用戶下載安裝此類軟件后,可以搜索到附近存在的一些WiFi熱點,利用該軟件,用戶可以很方便地“一鍵接入”其中的部分WiFi熱點(即便它們設有密碼)。如此好用的“蹭網(wǎng)神器”能給用戶帶來哪些安全威脅呢?要回答這個問題首先得了解這些軟件的操控原理。
其實它們的原理很簡單,一方面,軟件商搜集大量的公共WiFi賬號和密碼;另一方面,用戶分享他們接入的所有WiFi熱點的賬號和密碼,這樣一來就形成了一個大型的WiFi數(shù)據(jù)庫,當用戶進入這個數(shù)據(jù)庫中WiFi的覆蓋范圍時,就能夠自動調(diào)用密碼接入該網(wǎng)絡。
對于用戶而言,最大的風險就是,當他們連接自己的WiFi時,也會自動分享賬號和密碼,而許多人對此毫不知情。因為在安裝此類軟件的過程中,許多選項是默認勾選的(如“自動分享熱點”、“自動備份”等),而人們往往不會留意到這些細節(jié)。一旦這些賬號和密碼被不法分子所利用,就極有可能造成用戶的隱私信息泄露甚至造成財產(chǎn)損失。2014年年底,上海市楊浦區(qū)警方就曾破獲了一起非法獲取計算機信息系統(tǒng)數(shù)據(jù)案,涉案黑客成功入侵了一家開發(fā)免費WiFi熱點的軟件公司,在一周內(nèi)盜取了150萬個WiFi密碼,被捕時涉案黑客已經(jīng)利用這些信息獲利。
揭秘黑客的“三板斧”
在WiFi環(huán)境中,黑客可以無孔不入。在公共WiFi環(huán)境中,他們可以搭建不設密碼的釣魚WiFi,也可以假冒正規(guī)的WiFi熱點搭建山寨WiFi,誘使網(wǎng)民進入“蜜罐”陷阱;在家庭WiFi環(huán)境中,黑客可以通過破解密碼等方式,接入網(wǎng)民的無線網(wǎng)絡。隨后,他們就會用以下“三招”,讓網(wǎng)民在毫不知情的情況下蒙受損失。
第一招:數(shù)據(jù)抓包。當黑客與網(wǎng)民處于同一個局域網(wǎng)后,黑客就將變身為“嗅探者”,通過軟件自動“抓取”包含網(wǎng)民在上網(wǎng)時輸入的各類賬號、密碼等信息的數(shù)據(jù)包。通過軟件分析獲取這些信息后,黑客就可以通過販賣這些隱私信息,或者是直接登錄相關(guān)賬號轉(zhuǎn)賬、消費等獲利。
第二招:DNS劫持。DNS劫持即域名劫持,黑客攔截劫持網(wǎng)絡范圍內(nèi)的域名解析請求,分析請求的域名并進行相關(guān)的操作,簡單地說就是使網(wǎng)民無法正常訪問某些網(wǎng)站,或者將網(wǎng)民引到一些釣魚網(wǎng)站。例如,被DNS劫持后,網(wǎng)民在登錄網(wǎng)上銀行時,會被引到一個仿真度極高的山寨網(wǎng)上銀行,當他輸入賬號和密碼等信息后,黑客就可以馬上獲取這些信息,進而盜刷網(wǎng)民的網(wǎng)銀。
第三招:服務器數(shù)據(jù)劫持。網(wǎng)民“中招”后,黑客可以替換網(wǎng)民的下載文件,例如網(wǎng)民在網(wǎng)盤上下載一個軟件的安裝程序時,黑客可將植入了木馬的程序與原始文件對調(diào),這樣一來用戶一旦下載安裝該程序,木馬就會自動進入網(wǎng)民的智能終端。
如何才能避免“中招”
雖然WiFi環(huán)境中隱藏著諸多風險,但網(wǎng)民也大可不必因噎廢食。要想避免“中招”,首先需要做的是提高安全防范意識。工信部電子科學技術(shù)情報研究所日前完成的一項調(diào)查顯示,目前我國網(wǎng)民的信息安全意識普遍不強,具體表現(xiàn)為:75.93%的網(wǎng)民存在多賬戶使用同一密碼的問題;44.42%的網(wǎng)民使用生日、電話號碼或姓名全拼等設置密碼;我國83.48%的網(wǎng)民網(wǎng)上支付行為存在安全隱患,其中38.96%的網(wǎng)民使用無密碼的WiFi進行網(wǎng)上支付等。
安全專家為網(wǎng)民提供了一些建議,幫助大家降低利用WiFi上網(wǎng)的風險。
在公共WiFi環(huán)境中:
要避免使用沒有密碼的免費WiFi。如果黑客利用開啟監(jiān)聽模式的無線網(wǎng)卡,沒有密碼的WiFi流量數(shù)據(jù)是可以被黑客直接看到的。
仔細辨認常見的公共WiFi賬號。尤其要特別警惕同一地區(qū)有多個相同或相似名字的WiFi。出現(xiàn)這一情況,很有可能是黑客搭建了釣魚WiFi,因此要格外留意。
不要用手機瀏覽器登錄重要賬號,盡可能使用手機APP。因為一般的銀行客戶端和支付寶APP都會對數(shù)據(jù)傳輸進行加密,相對更安全一些。
手機郵箱設置應開啟SSL加密,以避免在釣魚WiFi環(huán)境中泄露賬號密碼。
在家庭WiFi環(huán)境中:
修改無線路由器的管理賬戶和密碼。不要使用無線路由器默認的賬號和密碼,以免黑客篡改路由器參數(shù)。
使用最高等級的加密方式。在設置無線路由器的加密方式時,不要使用WEP加密方式,這種靜態(tài)加密的方式很容易被破解,要使用WPA/WPA2的加密方式,WiFi的接入密碼應盡量設置得復雜些,建議16位以上而且要同時包含字母、數(shù)字與符號。
不要使用“蹭網(wǎng)”軟件。以免自己的WiFi賬號和密碼等信息被自動共享。
安全專家還建議,廣大網(wǎng)民在不使用WiFi時要養(yǎng)成關(guān)閉WiFi開關(guān)的好習慣,以防智能終端自動連上“黑WiFi”;同時可安裝正規(guī)的安全軟件,目前大多數(shù)的安全軟件均有WiFi環(huán)境掃描功能,可以幫助網(wǎng)民更安全地接入WiFi網(wǎng)絡;此外,政府相關(guān)部門、運營商和安全廠商等各方應更多地進行合作,通過大數(shù)據(jù)平臺找到這些“黑WiFi”,最終將這些不法分子繩之以法。