WiFi,那些你不知道的事
下午3點,天氣晴,本杰明背著他的黑色背包走進了一家咖啡館。這家咖啡館的生意很好,幸運的是他喜歡的那個僻靜角落沒有被人捷足先登。他點了一杯咖啡和一個三明治,禮貌地向服務員詢問了WiFi賬號和密碼,然后熟練地從背包中取出了電腦和一個煙盒大小的黑色盒子,他的“工作”開始了……
公共WiFi風險大
下午3點10分,瑪麗走進了這家咖啡館,她心情不錯,因為今天不用上班。她為自己點了一些甜品,然后掏出手機連上了咖啡館的免費WiFi。她點開網頁,登錄網上商城瀏覽最新的商品,有兩雙漂亮的鞋子吸引了她的目光。到底買哪一雙呢?經過反復的對比和復雜的心理斗爭,她終于決定把這兩雙鞋都買回家。可當她準備進行網上支付時,她驚呆了,昨天剛存入商城賬戶里的數千元錢已經不翼而飛!此時她不會注意到,一個背著黑色背包的年輕人默默地走出了咖啡館。
以上情節不是只在電影里才會出現,而是可能隨時發生在我們身上。近年來,隨著移動互聯網以及智能終端的迅猛發展,人們已經愛上了隨時隨地上網的暢快體驗,WiFi熱點也因其免費、方便接入等特性而備受歡迎。現在,咖啡館、飯館、酒店和飛機場等公共區域,公交車、火車甚至飛機等公共交通工具上都能夠提供WiFi熱點接入服務,而且這些公共WiFi大都是免費的。可是,在人們暢享移動互聯體驗的同時,信息安全風險也隨之而來。可怕的是,大多數人對此毫不知情!
百度移動安全部的專家在接受《人民郵電》報記者采訪時指出,調查顯示,目前我國近80%的手機用戶每天都會連接WiFi,這其中接近10%的WiFi都是沒有設置密碼的,在當前的公共WiFi中,隱藏安全風險的“黑WiFi”比例非常高,甚至遠遠超過了用戶之前比較關注的手機病毒。很多“黑WiFi”沒有密碼,并且以Starbucks、Airport free等常見的公共WiFi名稱命名。目前,這些公共WiFi已經成為了不法分子竊取用戶隱私、騙取用戶錢財的一個新興渠道,需要廣大用戶提高警惕。
事實上,利用公共WiFi作案的門檻極低。360公司的安全專家介紹說,一些不法分子利用網民想免費上網的心理,在公共場合利用一臺電腦、無線上網設備及一個網絡包分析軟件就可搭建一個不設密碼的釣魚WiFi,整個過程只需要十幾分鐘甚至幾分鐘。不法分子可以在網上很容易購買到搭建“黑WiFi”的設備,在國外一款名為“WiFi菠蘿”的此類設備已經推出了第五代產品,售價僅為99.99美元,而國內也不乏類似產品,一些產品甚至在淘寶等網店上公開銷售,售價僅為300元左右。不法分子甚至可以將任意一款正規的無線網卡改造成此類設備,成本可低至數十元。
連上釣魚WiFi后,網民所進行的操作、傳輸的數據都可以被黑客監視,黑客可從上網數據包里查到網民的登錄信息,從而竊取個人郵箱、社交軟件賬號密碼和照片等信息,還可以截獲網民與網銀、支付寶等財產相關的驗證碼短信,盜取受害者的資金。即便是設有密碼的WiFi也不一定安全,黑客只需要將釣魚WiFi的賬號和密碼設置成與正規WiFi熱點一樣(就像上文中本杰明所做的),當網民進入釣魚WiFi的“勢力范圍”后,他們極有可能被信號更強的“冒牌”WiFi所“俘獲”,所以同樣難逃魔爪。
家庭WiFi就安全嗎
近年來,“寬帶中國”戰略的逐步實施使許多家庭接入了寬帶網絡。工信部發布的《關于實施“寬帶中國”2015專項行動的意見》提出,2015年我國還要實現寬帶網絡能力的躍升,力爭新增光纖到戶覆蓋家庭8000萬戶,推動一批城市率先成為“全光網城市”。許多家庭為了方便家庭成員使用各類智能終端上網,紛紛利用家里的固網寬帶搭建WiFi熱點。據中國互聯網絡中心發布的數據,2014年我國在家里使用電腦接入互聯網的城鎮網民中,家庭WiFi的普及比例高達81.1%。許多人認為自己關起門來,用家里的WiFi上網肯定不會存在安全風險。事實真是這樣嗎?
讀者不妨先回答幾個問題:你是否知道家中無線路由器的管理賬號和密碼,是否更改了初始賬號和密碼?你家中的WiFi熱點是否被加密,采用了何種加密方式?對于以上問題,如果你沒有明確的答案,那么你就要當心了,這意味著你的家庭WiFi隨時都有可能被“黑”。
“我家里的WiFi要輸入密碼才能登錄呀,這還不夠安全嗎?”答案是,不一定。家用的無線路由器一般有兩層密碼,一層是接入WiFi時需輸入的密碼,一層是管理路由器時需要的密碼。許多人只是設置了前者而往往忽視了后者,甚至許多人根本不知道它的存在。而為了使用方便,許多人設置的WiFi接入密碼又非常簡單,如000000、123456或自己的生日等。黑客利用軟件可以很容易地“暴力破解”用戶的密碼。據360日前發布的調查報告,在全國超過1億個家用WiFi中,約有3.3%的WiFi密碼使用低級加密方式,也就是說,有超過400萬的家用WiFi密碼設置不安全。半年時間國內就有9.5%的WiFi實際遭遇了蹭網侵害,被蹭網的家庭WiFi數量高達950萬個,而我國上網資費平均每年為1000元左右,帶來的網費損失每年多達50億元。
更為可怕的是,黑客破解網民的家庭WiFi大多不只是為了蹭網這么簡單。許多網民沒有對家中的無線路由器管理賬號和密碼進行設置(許多路由器的默認賬號和密碼均為“admin”),黑客一旦成功接入網民的WiFi熱點,就可以隨意修改路由器的參數,并進一步入侵接入該WiFi的智能終端,輕而易舉地竊取網民的照片和文件,電子郵箱、社交軟件和游戲的賬號及密碼等隱私信息,進行網上銀行轉賬等操作,或者將網民的電腦變為“肉雞”,構建“僵尸網絡”等。
第一代“WiFi菠蘿”(左)因裝在一個形似菠蘿的盒子里而得名,而現在的第五代產品(右)只有煙盒大小,隱蔽性很強。
#p#
“蹭網神器”暗藏玄機
現在,互聯網思維在各行各業都受到了熱捧,雖然各方對其解讀眾說紛紜,但“免費”和“共享”無疑是其最典型的兩個特征。一些應用開發者就嗅到了免費WiFi所蘊藏的商機,紛紛推出可以幫助用戶免費“蹭WiFi”的各類應用軟件。WiFi萬能鑰匙、萬能WiFi鑰匙、WiFi鑰匙萬能工具箱等此類軟件一經推出就大受廣大網民歡迎。在國內一家知名的安卓應用商店,WiFi萬能鑰匙的下載量達到了驚人的2.19億次(這僅僅是一家應用商店的下載量)。許多人沒有意識到,此類軟件隱藏著巨大的信息安全風險。
在使用方法上,此類軟件大同小異,當用戶下載安裝此類軟件后,可以搜索到附近存在的一些WiFi熱點,利用該軟件,用戶可以很方便地“一鍵接入”其中的部分WiFi熱點(即便它們設有密碼)。如此好用的“蹭網神器”能給用戶帶來哪些安全威脅呢?要回答這個問題首先得了解這些軟件的操控原理。
其實它們的原理很簡單,一方面,軟件商搜集大量的公共WiFi賬號和密碼;另一方面,用戶分享他們接入的所有WiFi熱點的賬號和密碼,這樣一來就形成了一個大型的WiFi數據庫,當用戶進入這個數據庫中WiFi的覆蓋范圍時,就能夠自動調用密碼接入該網絡。
對于用戶而言,最大的風險就是,當他們連接自己的WiFi時,也會自動分享賬號和密碼,而許多人對此毫不知情。因為在安裝此類軟件的過程中,許多選項是默認勾選的(如“自動分享熱點”、“自動備份”等),而人們往往不會留意到這些細節。一旦這些賬號和密碼被不法分子所利用,就極有可能造成用戶的隱私信息泄露甚至造成財產損失。2014年年底,上海市楊浦區警方就曾破獲了一起非法獲取計算機信息系統數據案,涉案黑客成功入侵了一家開發免費WiFi熱點的軟件公司,在一周內盜取了150萬個WiFi密碼,被捕時涉案黑客已經利用這些信息獲利。
揭秘黑客的“三板斧”
在WiFi環境中,黑客可以無孔不入。在公共WiFi環境中,他們可以搭建不設密碼的釣魚WiFi,也可以假冒正規的WiFi熱點搭建山寨WiFi,誘使網民進入“蜜罐”陷阱;在家庭WiFi環境中,黑客可以通過破解密碼等方式,接入網民的無線網絡。隨后,他們就會用以下“三招”,讓網民在毫不知情的情況下蒙受損失。
第一招:數據抓包。當黑客與網民處于同一個局域網后,黑客就將變身為“嗅探者”,通過軟件自動“抓取”包含網民在上網時輸入的各類賬號、密碼等信息的數據包。通過軟件分析獲取這些信息后,黑客就可以通過販賣這些隱私信息,或者是直接登錄相關賬號轉賬、消費等獲利。
第二招:DNS劫持。DNS劫持即域名劫持,黑客攔截劫持網絡范圍內的域名解析請求,分析請求的域名并進行相關的操作,簡單地說就是使網民無法正常訪問某些網站,或者將網民引到一些釣魚網站。例如,被DNS劫持后,網民在登錄網上銀行時,會被引到一個仿真度極高的山寨網上銀行,當他輸入賬號和密碼等信息后,黑客就可以馬上獲取這些信息,進而盜刷網民的網銀。
第三招:服務器數據劫持。網民“中招”后,黑客可以替換網民的下載文件,例如網民在網盤上下載一個軟件的安裝程序時,黑客可將植入了木馬的程序與原始文件對調,這樣一來用戶一旦下載安裝該程序,木馬就會自動進入網民的智能終端。
如何才能避免“中招”
雖然WiFi環境中隱藏著諸多風險,但網民也大可不必因噎廢食。要想避免“中招”,首先需要做的是提高安全防范意識。工信部電子科學技術情報研究所日前完成的一項調查顯示,目前我國網民的信息安全意識普遍不強,具體表現為:75.93%的網民存在多賬戶使用同一密碼的問題;44.42%的網民使用生日、電話號碼或姓名全拼等設置密碼;我國83.48%的網民網上支付行為存在安全隱患,其中38.96%的網民使用無密碼的WiFi進行網上支付等。
安全專家為網民提供了一些建議,幫助大家降低利用WiFi上網的風險。
在公共WiFi環境中:
要避免使用沒有密碼的免費WiFi。如果黑客利用開啟監聽模式的無線網卡,沒有密碼的WiFi流量數據是可以被黑客直接看到的。
仔細辨認常見的公共WiFi賬號。尤其要特別警惕同一地區有多個相同或相似名字的WiFi。出現這一情況,很有可能是黑客搭建了釣魚WiFi,因此要格外留意。
不要用手機瀏覽器登錄重要賬號,盡可能使用手機APP。因為一般的銀行客戶端和支付寶APP都會對數據傳輸進行加密,相對更安全一些。
手機郵箱設置應開啟SSL加密,以避免在釣魚WiFi環境中泄露賬號密碼。
在家庭WiFi環境中:
修改無線路由器的管理賬戶和密碼。不要使用無線路由器默認的賬號和密碼,以免黑客篡改路由器參數。
使用最高等級的加密方式。在設置無線路由器的加密方式時,不要使用WEP加密方式,這種靜態加密的方式很容易被破解,要使用WPA/WPA2的加密方式,WiFi的接入密碼應盡量設置得復雜些,建議16位以上而且要同時包含字母、數字與符號。
不要使用“蹭網”軟件。以免自己的WiFi賬號和密碼等信息被自動共享。
安全專家還建議,廣大網民在不使用WiFi時要養成關閉WiFi開關的好習慣,以防智能終端自動連上“黑WiFi”;同時可安裝正規的安全軟件,目前大多數的安全軟件均有WiFi環境掃描功能,可以幫助網民更安全地接入WiFi網絡;此外,政府相關部門、運營商和安全廠商等各方應更多地進行合作,通過大數據平臺找到這些“黑WiFi”,最終將這些不法分子繩之以法。
