公共場所慎用免費WiFi
在咖啡廳,當你發現兩個Wi-Fi熱點:一個收費登錄;一個免費登錄,你選擇哪個?如果不假思索地選擇“免費”這個,那你很可能馬上“中招”,被黑客獲得個人信息和密碼——因為它很可能正是黑客設置的釣魚網站!
近日,有黑客自曝在星巴克、麥當勞這些提供免費WiFi的公共場合,只需要用一臺Windows7系統電腦、一套無線網絡以及一個網絡包分析軟件,15分鐘就可以竊取手機上網用戶的個人信息和密碼。業內專家表示,天下沒有免費的午餐,完全免費開放的WiFi很多都可能有陷阱,用戶在進入店家后必須向店家咨詢,登錄店家設置的官方WiFi。此外,有業內人士表示,關于信息安全的立法應該盡快提上日程。
黑客自爆釣魚WiFi
獲取用戶的個人私隱乃至密碼有多簡單?答案是非常簡單!“初級黑客兩個小時就能掌握竊取用戶個人信息和密碼,熟練后僅需15分鐘。”近日,有黑客發帖稱,在星巴克、麥當勞等通常有無線熱點的公共場所,只要一臺Windows7系統電腦、一套無線網絡及一個網絡包分析軟件,設置一個釣魚性質的無線Wi-Fi熱點AP,就能輕松搭建出一個“釣魚”Wi-Fi。這個釣魚Wi-Fi不設密碼。由于普通用戶很難察覺黑客搭建的偽造WiFi的真假,一旦連入,黑客只需15分鐘就可以竊取手機上網用戶的個人信息和密碼,包括網銀密碼、炒股賬號密碼等。
根據該黑客透露的設置釣魚Wi-Fi的詳細“教程”,在星巴克、麥當勞等有無線Wi-Fi的地方,通過Win7電腦、無線網絡和Wireshark軟件,即可設置出釣魚的WiFi。這個釣魚WiFi需要起一個具備欺騙性的名字,比如“Starbucks2”。
由于正規的星巴克和麥當勞都需要輸入繁瑣的密碼認證才能使用。而這個釣魚Wi-Fi熱點不會設置密碼。當用戶進入星巴克后,會同時搜索到星巴克的官方WiFi和帶有欺騙性質的“Starbucks2”熱點。由于“Starbucks2”不需要密碼,用戶自然會首先連接該熱點。這樣一來,當某用戶訪問live或者gmail等https網站時,提交的用戶名和密碼會被Wireshark軟件截取到。
手機電腦都易中招
該黑客網友還表示,如果使用UC手機瀏覽器會特別容易“出事”,原因是使用UC瀏覽器登錄用戶名和密碼均使用明文密碼。所謂“明文密碼”,就是指網站保存密碼或網絡傳送密碼的時候,用的是可以看得懂的明文字符,而不是經過加密后的密文。
針對這個網帖指控,UC優視公司隨即發表聲明稱:“這是競爭對手的刻意抹黑”。UC公司表示,該公司已迅速按照文章內容進行驗證,但網貼所指情況完全無法復現。此后,UC優視進行了一次全平臺的安全驗證和檢查,發現在iPhone版本的UC瀏覽器存在一個極端情況下的漏洞,隨后UC優視立即上線了新的iPhone版本。
不過UC公司也表示,如果用戶在公共場所連接任何不安全的釣魚Wi-Fi,無論用手機,還是用計算機,信息都可能被黑客捕獲,因此要注意識別釣魚Wi-Fi。
專家觀點
WiFi登錄方式應簡化
有法律專家在接受記者采訪時表示,WiFi熱點已經成為潮人上網的重要方式,但目前國內信息安全立法滯后,導致類似的釣魚Wi-Fi難以監管。他建議,國內立法機關有必要盡快出臺信息安全法律對類似行為進行監管。
也有業內人士表示,許多用戶之所以容易被釣魚Wi-Fi設套,大部分是為了貪便宜和方便等原因,樂意在公共場所搜索免費Wi-Fi使用,從未想過類似釣魚Wi-Fi的存在。對此,運營商也要負一部分責任。該人士表示,其實目前三大運營商均在積極鋪設WiFi熱點,但運營商Wi-Fi登錄無一例外需要短信認證等方式,非常繁瑣。而一些連鎖咖啡廳和餐廳在與運營商合作推廣WiFi后,不但沒有簡化登錄手續,反而讓登錄變得更加困難。如此無疑加大了釣魚Wi-Fi設陷阱成功的可能性。因此,三大運營商需要考慮提供更簡便的Wi-Fi登錄方式,以方便Wi-Fi一族。
專家支招
三招防止釣魚Wi-Fi
1.謹慎辨認官方熱點
用戶如何避免不被WiFi“釣魚”?據業內專家表示,最重要的預防途徑是要看清Wi-Fi熱點的名稱。有業內信息安全業內專家表示,為了成功將用戶“釣入網”,黑客一般會起一個跟店鋪官方Wi-Fi非常相近、非常容易迷惑人的Wi-Fi名字。比如,如果在星巴克和KFC,則可能起一個Starbucks2、KFC等。因此用戶在上網時,一定要問清現場柜臺人員哪個才是官方Wi-Fi,不能輕易選擇。
2.選擇運營商熱點
此外,應該盡可能選擇運營商Wi-Fi熱點。相對而言,在公共場合,目前國內運營商提供的免費Wi-Fi熱點安全性相對較高。以廣州為例,目前三大運營商均為自身客戶提供了免費的Wi-Fi熱點,用戶可以通過電話或短信,獲取免費的WiFi賬號、密碼。如果用戶是要使用網上金融工具的時候,則應該使用安全程度更高的3G網絡。
3.不打開Wi-Fi自動鏈接
在有些手機的網絡設置中,有Wi-Fi自動連接的功能,只要有免費的Wi-Fi就自動連接。但往往這些用戶很容易就在“不知情”的情況下落入別人的圈套。因此,用戶最好把Wi-Fi連接設置為手動,只有自己想用的時候才打開。
【編輯推薦】
