下午3點,天氣晴,本傑明揹着他的黑色揹包走進了一家咖啡館。這家咖啡館的生意很好,幸運的是他喜歡的那個僻靜角落沒有被人捷足先登。他點了一杯咖 啡和一個三明治,禮貌地向服務員詢問了WiFi賬號和密碼,然後熟練地從揹包中取出了電腦和一個煙盒大小的黑色盒子,他的“工作”開始了……
公共WiFi風險大
下午3點10分,瑪麗走進了這家咖啡館,她心情不錯,因爲今天不用上班。她爲自己點了一些甜品,然後掏出手機連上了咖啡館的免費WiFi。她點開網 頁,登錄網上商城瀏覽最新的商品,有兩雙漂亮的鞋子吸引了她的目光。到底買哪一雙呢?經過反覆的對比和複雜的心理鬥爭,她終於決定把這兩雙鞋都買回家。可 當她準備進行網上支付時,她驚呆了,昨天剛存入商城賬戶裏的數千元錢已經不翼而飛!此時她不會注意到,一個揹着黑色揹包的年輕人默默地走出了咖啡館。
以上情節不是隻在電影裏纔會出現,而是可能隨時發生在我們身上。近年來,隨着移動互聯網以及智能終端的迅猛發展,人們已經愛上了隨時隨地上網的暢快 體驗,WiFi熱點也因其免費、方便接入等特性而備受歡迎。現在,咖啡館、飯館、酒店和飛機場等公共區域,公交車、火車甚至飛機等公共交通工具上都能夠提 供WiFi熱點接入服務,而且這些公共WiFi大都是免費的。可是,在人們暢享移動互聯體驗的同時,信息安全風險也隨之而來。可怕的是,大多數人對此毫不 知情!
百度移動安全部的專家在接受《人民郵電》報記者採訪時指出,調查顯示,目前我國近80%的手機用戶每天都會連接WiFi,這其中接近10%的 WiFi都是沒有設置密碼的,在當前的公共WiFi中,隱藏安全風險的“黑WiFi”比例非常高,甚至遠遠超過了用戶之前比較關注的手機病毒。很多“黑 WiFi”沒有密碼,並且以Starbucks、Airport free等常見的公共WiFi名稱命名。目前,這些公共WiFi已經成爲了不法分子竊取用戶隱私、騙取用戶錢財的一個新興渠道,需要廣大用戶提高警惕。
事實上,利用公共WiFi作案的門檻極低。360公司的安全專家介紹說,一些不法分子利用網民想免費上網的心理,在公共場合利用一臺電腦、無線上網 設備及一個網絡包分析軟件就可搭建一個不設密碼的釣魚WiFi,整個過程只需要十幾分鍾甚至幾分鐘。不法分子可以在網上很容易購買到搭建“黑WiFi”的 設備,在國外一款名爲“WiFi菠蘿”的此類設備已經推出了第五代產品,售價僅爲99.99美元,而國內也不乏類似產品,一些產品甚至在淘寶等網店上公開 銷售,售價僅爲300元左右。不法分子甚至可以將任意一款正規的無線網卡改造成此類設備,成本可低至數十元。
連上釣魚WiFi後,網民所進行的操作、傳輸的數據都可以被***監視,***可從上網數據包裏查到網民的登錄信息,從而竊取個人郵箱、社交軟件賬號密 碼和照片等信息,還可以截獲網民與網銀、支付寶等財產相關的驗證碼短信,盜取受害者的資金。即便是設有密碼的WiFi也不一定安全,***只需要將釣魚 WiFi的賬號和密碼設置成與正規WiFi熱點一樣(就像上文中本傑明所做的),當網民進入釣魚WiFi的“勢力範圍”後,他們極有可能被信號更強的“冒 牌”WiFi所“俘獲”,所以同樣難逃魔爪。
家庭WiFi就安全嗎
近年來,“寬帶中國”戰略的逐步實施使許多家庭接入了寬帶網絡。工信部發布的《關於實施“寬帶中國”2015專項行動的意見》提出,2015年我國 還要實現寬帶網絡能力的躍升,力爭新增光纖到戶覆蓋家庭8000萬戶,推動一批城市率先成爲“全光網城市”。許多家庭爲了方便家庭成員使用各類智能終端上 網,紛紛利用家裏的固網寬帶搭建WiFi熱點。據中國互聯網絡中心發佈的數據,2014年我國在家裏使用電腦接入互聯網的城鎮網民中,家庭WiFi的普及 比例高達81.1%。許多人認爲自己關起門來,用家裏的WiFi上網肯定不會存在安全風險。事實真是這樣嗎?
讀者不妨先回答幾個問題:你是否知道家中無線路由器的管理賬號和密碼,是否更改了初始賬號和密碼?你家中的WiFi熱點是否被加密,採用了何種加密方式?對於以上問題,如果你沒有明確的答案,那麼你就要當心了,這意味着你的家庭WiFi隨時都有可能被“黑”。
“我家裏的WiFi要輸入密碼才能登錄呀,這還不夠安全嗎?”答案是,不一定。家用的無線路由器一般有兩層密碼,一層是接入WiFi時需輸入的密 碼,一層是管理路由器時需要的密碼。許多人只是設置了前者而往往忽視了後者,甚至許多人根本不知道它的存在。而爲了使用方便,許多人設置的WiFi接入密 碼又非常簡單,如000000、123456或自己的生日等。***利用軟件可以很容易地“暴力破解”用戶的密碼。據360日前發佈的調查報告,在全國超過 1億個家用WiFi中,約有3.3%的WiFi密碼使用低級加密方式,也就是說,有超過400萬的家用WiFi密碼設置不安全。半年時間國內就有9.5% 的WiFi實際遭遇了蹭網侵害,被蹭網的家庭WiFi數量高達950萬個,而我國上網資費平均每年爲1000元左右,帶來的網費損失每年多達50億元。
更爲可怕的是,***破解網民的家庭WiFi大多不只是爲了蹭網這麼簡單。許多網民沒有對家中的無線路由器管理賬號和密碼進行設置(許多路由器的默認 賬號和密碼均爲“admin”),***一旦成功接入網民的WiFi熱點,就可以隨意修改路由器的參數,並進一步***接入該WiFi的智能終端,輕而易舉地 竊取網民的照片和文件,電子郵箱、社交軟件和遊戲的賬號及密碼等隱私信息,進行網上銀行轉賬等操作,或者將網民的電腦變爲“肉雞”,構建“僵屍網絡”等。
第一代“WiFi菠蘿”(左)因裝在一個形似菠蘿的盒子裏而得名,而現在的第五代產品(右)只有煙盒大小,隱蔽性很強。
“蹭網神器”暗藏玄機
現在,互聯網思維在各行各業都受到了熱捧,雖然各方對其解讀衆說紛紜,但“免費”和“共享”無疑是其最典型的兩個特徵。一些應用開發者就嗅到了免費 WiFi所蘊藏的商機,紛紛推出可以幫助用戶免費“蹭WiFi”的各類應用軟件。WiFi***、萬能WiFi鑰匙、WiFi鑰匙萬能工具箱等此類軟件 一經推出就大受廣大網民歡迎。在國內一家知名的安卓應用商店,WiFi***的下載量達到了驚人的2.19億次(這僅僅是一家應用商店的下載量)。許多 人沒有意識到,此類軟件隱藏着巨大的信息安全風險。
在使用方法上,此類軟件大同小異,當用戶下載安裝此類軟件後,可以搜索到附近存在的一些WiFi熱點,利用該軟件,用戶可以很方便地“一鍵接入”其 中的部分WiFi熱點(即便它們設有密碼)。如此好用的“蹭網神器”能給用戶帶來哪些安全威脅呢?要回答這個問題首先得了解這些軟件的操控原理。
其實它們的原理很簡單,一方面,軟件商蒐集大量的公共WiFi賬號和密碼;另一方面,用戶分享他們接入的所有WiFi熱點的賬號和密碼,這樣一來就形成了一個大型的WiFi數據庫,當用戶進入這個數據庫中WiFi的覆蓋範圍時,就能夠自動調用密碼接入該網絡。
對於用戶而言,最大的風險就是,當他們連接自己的WiFi時,也會自動分享賬號和密碼,而許多人對此毫不知情。因爲在安裝此類軟件的過程中,許多選 項是默認勾選的(如“自動分享熱點”、“自動備份”等),而人們往往不會留意到這些細節。一旦這些賬號和密碼被不法分子所利用,就極有可能造成用戶的隱私 信息泄露甚至造成財產損失。2014年年底,上海市楊浦區警方就曾破獲了一起非法獲取計算機信息系統數據案,涉案***成功***了一家開發免費WiFi熱點 的軟件公司,在一週內盜取了150萬個WiFi密碼,被捕時涉案***已經利用這些信息獲利。
揭祕***的“三板斧”
在WiFi環境中,***可以無孔不入。在公共WiFi環境中,他們可以搭建不設密碼的釣魚WiFi,也可以假冒正規的WiFi熱點搭建山寨 WiFi,誘使網民進入“蜜罐”陷阱;在家庭WiFi環境中,***可以通過破解密碼等方式,接入網民的無線網絡。隨後,他們就會用以下“三招”,讓網民在 毫不知情的情況下蒙受損失。
第一招:數據抓包。當***與網民處於同一個局域網後,***就將變身爲“嗅探者”,通過軟件自動“抓取”包含網民在上網時輸入的各類賬號、密碼等信息的數據包。通過軟件分析獲取這些信息後,***就可以通過販賣這些隱私信息,或者是直接登錄相關賬號轉賬、消費等獲利。
第二招:DNS劫持。DNS劫持即域名劫持,***攔截劫持網絡範圍內的域名解析請求,分析請求的域名並進行相關的操作,簡單地說就是使網民無法正常 訪問某些網站,或者將網民引到一些釣魚網站。例如,被DNS劫持後,網民在登錄網上銀行時,會被引到一個仿真度極高的山寨網上銀行,當他輸入賬號和密碼等 信息後,***就可以馬上獲取這些信息,進而盜刷網民的網銀。
第三招:服務器數據劫持。網民“中招”後,***可以替換網民的下載文件,例如網民在網盤上下載一個軟件的安裝程序時,***可將植入了***的程序與原始文件對調,這樣一來用戶一旦下載安裝該程序,***就會自動進入網民的智能終端。
如何才能避免“中招”
雖然WiFi環境中隱藏着諸多風險,但網民也大可不必因噎廢食。要想避免“中招”,首先需要做的是提高安全防範意識。工信部電子科學技術情報研究所 日前完成的一項調查顯示,目前我國網民的信息安全意識普遍不強,具體表現爲:75.93%的網民存在多賬戶使用同一密碼的問題;44.42%的網民使用生 日、電話號碼或姓名全拼等設置密碼;我國83.48%的網民網上支付行爲存在安全隱患,其中38.96%的網民使用無密碼的WiFi進行網上支付等。
安全專家爲網民提供了一些建議,幫助大家降低利用WiFi上網的風險。
在公共WiFi環境中:
要避免使用沒有密碼的免費WiFi。如果***利用開啓監聽模式的無線網卡,沒有密碼的WiFi流量數據是可以被***直接看到的。
仔細辨認常見的公共WiFi賬號。尤其要特別警惕同一地區有多個相同或相似名字的WiFi。出現這一情況,很有可能是***搭建了釣魚WiFi,因此要格外留意。
不要用手機瀏覽器登錄重要賬號,儘可能使用手機APP。因爲一般的銀行客戶端和支付寶APP都會對數據傳輸進行加密,相對更安全一些。
手機郵箱設置應開啓SSL加密,以避免在釣魚WiFi環境中泄露賬號密碼。
在家庭WiFi環境中:
修改無線路由器的管理賬戶和密碼。不要使用無線路由器默認的賬號和密碼,以免***篡改路由器參數。
使用最高等級的加密方式。在設置無線路由器的加密方式時,不要使用WEP加密方式,這種靜態加密的方式很容易被破解,要使用WPA/WPA2的加密方式,WiFi的接入密碼應儘量設置得複雜些,建議16位以上而且要同時包含字母、數字與符號。
不要使用“蹭網”軟件。以免自己的WiFi賬號和密碼等信息被自動共享。
安全專家還建議,廣大網民在不使用WiFi時要養成關閉WiFi開關的好習慣,以防智能終端自動連上“黑WiFi”;同時可安裝正規的安全軟件,目 前大多數的安全軟件均有WiFi環境掃描功能,可以幫助網民更安全地接入WiFi網絡;此外,政府相關部門、運營商和安全廠商等各方應更多地進行合作,通 過大數據平臺找到這些“黑WiFi”,最終將這些不法分子繩之以法。