隨著我國公共場所免費(fèi)wifi的不斷增多,蹭個(gè)網(wǎng)、轉(zhuǎn)個(gè)賬、淘個(gè)寶等,成為不少網(wǎng)民的習(xí)慣動(dòng)作。然而,由于免費(fèi)wifi存在路由器和網(wǎng)絡(luò)漏洞,往往成為黑客攻擊的對(duì)象。據(jù)騰訊移動(dòng)安全實(shí)驗(yàn)室工程師陳湘玲介紹,在公共場所接入免費(fèi)wifi的安全風(fēng)險(xiǎn)包括:用戶的社交軟件賬號(hào)、密碼被劫持和惡意利用;手機(jī)或電腦中的文件及照片等個(gè)人信息泄露;用戶網(wǎng)銀和支付寶等移動(dòng)支付的資金被盜刷等。艾媒咨詢ceo張毅說,餐飲店、酒店、咖啡廳等商家是wifi的高風(fēng)險(xiǎn)區(qū)。“一根網(wǎng)線加一臺(tái)無線路由器組成的免費(fèi)wifi,往往‘后門’大開,沒有安全防范設(shè)置,為黑客打開了方便之門。”
根據(jù)2014年某機(jī)構(gòu)對(duì)全國8萬個(gè)公共wifi熱點(diǎn)進(jìn)行的抽樣調(diào)查,有21%的公共熱點(diǎn)存在風(fēng)險(xiǎn),其中絕大多數(shù)wifi熱點(diǎn)加密方式不安全。
在騰訊公司的wifi風(fēng)險(xiǎn)實(shí)驗(yàn)室,陳湘玲向記者演示了黑客的“三大陰招”:
1、域名劫持。在實(shí)驗(yàn)室,記者用手機(jī)連上了一個(gè)不設(shè)密碼的wifi后,輸入正確的工商銀行網(wǎng)站,跳出的網(wǎng)頁卻是個(gè)與之相似度很高的山寨釣魚網(wǎng)站。
陳湘玲說,在當(dāng)前的wifi環(huán)境下,她可以進(jìn)入無線路由器的管理后臺(tái),并對(duì)域名系統(tǒng)進(jìn)行修改。當(dāng)記者輸入工行網(wǎng)址時(shí),服務(wù)器直接把ip跳到她設(shè)置的工行釣魚網(wǎng)站。
2、釣魚wifi。陳湘玲說,黑客往往選擇在繁華商業(yè)區(qū)構(gòu)建一個(gè)不加密的wifi,并把wifi的名字起為“cmcc”、“kfc”等眾所周知的熱點(diǎn)名稱,引誘網(wǎng)民“上鉤”。
值得關(guān)注的是,架設(shè)一個(gè)釣魚虛假wifi毫不費(fèi)力,黑客只要把一個(gè)3g網(wǎng)卡插入到便攜迷你無線路由器,就能釋放wifi信號(hào)。設(shè)置好無線路由和網(wǎng)絡(luò)共享后,黑客“就能喝著咖啡守株待兔了。”
3、arp(地址解析協(xié)議)欺騙。陳湘玲和記者各自用手機(jī)連接了同一個(gè)wifi,記者登陸了自己的新浪微博開始瀏覽,陳湘玲則在其手機(jī)上打開了一款黑客軟件。記者看到,該黑客軟件很快就進(jìn)入路由器的web管理界面,并將記者的手機(jī)信息讀取出來。
陳湘玲在其手機(jī)上發(fā)出一條微博測試,不到5秒鐘,記者手機(jī)上就顯示了這條“新微博”。“這意味著,你在手機(jī)上的所有操作我都能一覽無余。這樣的會(huì)話劫持軟件在網(wǎng)上可以輕易下載。”陳湘玲說。
張毅認(rèn)為,當(dāng)前免費(fèi)wifi服務(wù)的接入標(biāo)準(zhǔn)不一,存在安全隱患。通信管理部門應(yīng)該建立公共wifi的準(zhǔn)入和審批備案制度,以保障用戶信息和資金安全。
專家建議,用戶登錄公共wifi時(shí),一是不要盲目地“見網(wǎng)就連”,防止釣魚的虛假wifi;二是不要進(jìn)行網(wǎng)購和網(wǎng)銀操作,避免個(gè)人信息的泄露。“有的用戶習(xí)慣于wifi開關(guān)設(shè)置在打開狀態(tài),這會(huì)導(dǎo)致手機(jī)自動(dòng)連接,存在很大風(fēng)險(xiǎn)。”陳湘玲說。
專家提醒,當(dāng)用戶發(fā)現(xiàn)賬戶被劫持后,應(yīng)在第一時(shí)間退出賬戶,隨后退出wifi。如果直接退網(wǎng)而不先退出賬戶,緩存的網(wǎng)絡(luò)數(shù)據(jù)則不會(huì)被清空,將導(dǎo)致黑客可以繼續(xù)操控用戶。