|
|
, } Z3 q* j' B T4 i
( T, ?$ b+ Y: q2 U# s# N [ 随着我国公共场所免费WiFi的不断增多,蹭个网、转个账、淘个宝等,成为不少网民的习惯动作。然而,由于免费WiFi存在路由器和网络漏洞,往往成为黑客攻击的对象。据腾讯移动安全实验室工程师陈湘玲介绍,在公共场所接入免费WiFi的安全风险包括:用户的社交软件账号、密码被劫持和恶意利用;手机或电脑中的文件及照片等个人信息泄露;用户网银和支付宝等移动支付的资金被盗刷等。艾媒咨询CEO张毅说,餐饮店、酒店、咖啡厅等商家是WiFi的高风险区。“一根网线加一台无线路由器组成的免费WiFi,往往‘后门’大开,没有安全防范设置,为黑客打开了方便之门。”5 F ~! `) I1 _% i& a0 _+ Y6 }
' B; d- P9 E! p* D3 P* a1 \9 x) C 根据2014年某机构对全国8万个公共WiFi热点进行的抽样调查,有21%的公共热点存在风险,其中绝大多数WiFi热点加密方式不安全。
( I3 P7 E' S) @5 C" `* |+ \9 b c/ E" i& _( H5 A+ D
黑客的三大“阴招”
# J! ?3 |) C: K) \" G0 s$ X
0 t' \* ?* l$ y- N* Y- c* u 在腾讯公司的WiFi风险实验室,陈湘玲向记者演示了黑客的“阴招”:
" ]( E& L% e1 ] B n6 D, B7 a$ g, c2 q/ c- Y4 X
1、域名劫持。在实验室,记者用手机连上了一个不设密码的WiFi后,输入正确的工商银行网站,跳出的网页却是个与之相似度很高的山寨钓鱼网站。
# O J* }0 i% i+ I
- n' J b. q, i0 s9 n% a- ^ 陈湘玲说,在当前的WiFi环境下,她可以进入无线路由器的管理后台,并对域名系统进行修改。当记者输入工行网址时,服务器直接把IP跳到她设置的工行钓鱼网站。% A1 x; a) r7 ~! x
" T, s( D. e) _" j3 Y7 C
2、钓鱼WiFi。陈湘玲说,黑客往往选择在繁华商业区构建一个不加密的WiFi,并把WiFi的名字起为“CMCC”、“KFC”等众所周知的热点名称,引诱网民“上钩”。
9 F/ N; c7 ?/ ^, _6 h2 k0 R! h
值得关注的是,架设一个钓鱼虚假WiFi毫不费力,黑客只要把一个3G网卡插入到便携迷你无线路由器,就能释放WiFi信号。设置好无线路由和网络共享后,黑客“就能喝着咖啡守株待兔了。”
, m$ n' ?+ H$ }. E: Y: n' X6 ]9 [( v
3、ARP(地址解析协议)欺骗。陈湘玲和记者各自用手机连接了同一个WiFi,记者登陆了自己的新浪微博开始浏览,陈湘玲则在其手机上打开了一款黑客软件。记者看到,该黑客软件很快就进入路由器的WEB管理界面,并将记者的手机信息读取出来。
9 g3 \' L% r/ |- h% H, p) w; p* U: w- ~# p: F3 L- v# O! K
陈湘玲在其手机上发出一条微博测试,不到5秒钟,记者手机上就显示了这条“新微博”。“这意味着,你在手机上的所有操作我都能一览无余。这样的会话劫持软件在网上可以轻易下载。”陈湘玲说。$ e% g( j) u0 M5 A& f
+ x% A# \' T* f7 R& H1 J R
专家支招避风险
$ u: C# U7 K) J, G \0 N
' e: Z- R2 D! E# q( e+ P 张毅认为,当前免费WiFi服务的接入标准不一,存在安全隐患。通信管理部门应该建立公共WiFi的准入和审批备案制度,以保障用户信息和资金安全。
- b+ h' c5 c" \+ \
$ d5 T. S( W/ ^. @; L. s0 y! N7 E 专家建议,用户登录公共WiFi时,一是不要盲目地“见网就连”,防止钓鱼的虚假WiFi;二是不要进行网购和网银操作,避免个人信息的泄露。“有的用户习惯于WiFi开关设置在打开状态,这会导致手机自动连接,存在很大风险。”陈湘玲说。
- f% T( U3 S* k" n" \7 J
- O, J. h n6 q/ E% i2 Y. N 专家提醒,当用户发现账户被劫持后,应在第一时间退出账户,随后退出WiFi。如果直接退网而不先退出账户,缓存的网络数据则不会被清空,将导致黑客可以继续操控用户。3 u3 V, C( P1 ~& F! H V
/ {4 ^2 e* H5 z" V
|
|