在咖啡厅,当你发现两个Wi-Fi热点:一个收费登录;一个免费登录,你选择哪个?如果不假思索地选择“免费”这个,那你很可能马上“中招”,被黑客获得个人信息和密码——因为它很可能正是黑客设置的钓鱼网站!
近日,有黑客自曝在星巴克、麦当劳这些提供免费WiFi的公共场合,只需要用一台Windows7系统电脑、一套无线网络以及一个网络包分析软件,15分钟就可以窃取手机上网用户的个人信息和密码。业内专家表示,天下没有免费的午餐,完全免费开放的WiFi很多都可能有陷阱,用户在进入店家后必须向店家咨询,登录店家设置的官方WiFi。此外,有业内人士表示,关于信息安全的立法应该尽快提上日程。
黑客自爆钓鱼WiFi
获取用户的个人私隐乃至密码有多简单?答案是非常简单!“初级黑客两个小时就能掌握窃取用户个人信息和密码,熟练后仅需15分钟。”近日,有黑客发帖称,在星巴克、麦当劳等通常有无线热点的公共场所,只要一台Windows7系统电脑、一套无线网络及一个网络包分析软件,设置一个钓鱼性质的无线Wi-Fi热点AP,就能轻松搭建出一个“钓鱼”Wi-Fi。这个钓鱼Wi-Fi不设密码。由于普通用户很难察觉黑客搭建的伪造WiFi的真假,一旦连入,黑客只需15分钟就可以窃取手机上网用户的个人信息和密码,包括网银密码、炒股账号密码等。
根据该黑客透露的设置钓鱼Wi-Fi的详细“教程”,在星巴克、麦当劳等有无线Wi-Fi的地方,通过Win7电脑、无线网络和Wireshark软件,即可设置出钓鱼的WiFi。这个钓鱼WiFi需要起一个具备欺骗性的名字,比如“Starbucks2”。
由于正规的星巴克和麦当劳都需要输入繁琐的密码认证才能使用。而这个钓鱼Wi-Fi热点不会设置密码。当用户进入星巴克后,会同时搜索到星巴克的官方WiFi和带有欺骗性质的“Starbucks2”热点。由于“Starbucks2”不需要密码,用户自然会首先连接该热点。这样一来,当某用户访问live或者gmail等https网站时,提交的用户名和密码会被Wireshark软件截取到。
手机电脑都易中招
该黑客网友还表示,如果使用UC手机浏览器会特别容易“出事”,原因是使用UC浏览器登录用户名和密码均使用明文密码。所谓“明文密码”,就是指网站保存密码或网络传送密码的时候,用的是可以看得懂的明文字符,而不是经过加密后的密文。
针对这个网帖指控,UC优视公司随即发表声明称:“这是竞争对手的刻意抹黑”。UC公司表示,该公司已迅速按照文章内容进行验证,但网贴所指情况完全无法复现。此后,UC优视进行了一次全平台的安全验证和检查,发现在iPhone版本的UC浏览器存在一个极端情况下的漏洞,随后UC优视立即上线了新的iPhone版本。
不过UC公司也表示,如果用户在公共场所连接任何不安全的钓鱼Wi-Fi,无论用手机,还是用计算机,信息都可能被黑客捕获,因此要注意识别钓鱼Wi-Fi。
专家观点
WiFi登录方式应简化
有法律专家在接受记者采访时表示,WiFi热点已经成为潮人上网的重要方式,但目前国内信息安全立法滞后,导致类似的钓鱼Wi-Fi难以监管。他建议,国内立法机关有必要尽快出台信息安全法律对类似行为进行监管。
也有业内人士表示,许多用户之所以容易被钓鱼Wi-Fi设套,大部分是为了贪便宜和方便等原因,乐意在公共场所搜索免费Wi-Fi使用,从未想过类似钓鱼Wi-Fi的存在。对此,运营商也要负一部分责任。该人士表示,其实目前三大运营商均在积极铺设WiFi热点,但运营商Wi-Fi登录无一例外需要短信认证等方式,非常繁琐。而一些连锁咖啡厅和餐厅在与运营商合作推广WiFi后,不但没有简化登录手续,反而让登录变得更加困难。如此无疑加大了钓鱼Wi-Fi设陷阱成功的可能性。因此,三大运营商需要考虑提供更简便的Wi-Fi登录方式,以方便Wi-Fi一族。
专家支招
三招防止钓鱼Wi-Fi
1.谨慎辨认官方热点
用户如何避免不被WiFi“钓鱼”?据业内专家表示,最重要的预防途径是要看清Wi-Fi热点的名称。有业内信息安全业内专家表示,为了成功将用户“钓入网”,黑客一般会起一个跟店铺官方Wi-Fi非常相近、非常容易迷惑人的Wi-Fi名字。比如,如果在星巴克和KFC,则可能起一个Starbucks2、KFC等。因此用户在上网时,一定要问清现场柜台人员哪个才是官方Wi-Fi,不能轻易选择。
2.选择运营商热点
此外,应该尽可能选择运营商Wi-Fi热点。相对而言,在公共场合,目前国内运营商提供的免费Wi-Fi热点安全性相对较高。以广州为例,目前三大运营商均为自身客户提供了免费的Wi-Fi热点,用户可以通过电话或短信,获取免费的WiFi账号、密码。如果用户是要使用网上金融工具的时候,则应该使用安全程度更高的3G网络。
3.不打开Wi-Fi自动链接
在有些手机的网络设置中,有Wi-Fi自动连接的功能,只要有免费的Wi-Fi就自动连接。但往往这些用户很容易就在“不知情”的情况下落入别人的圈套。因此,用户最好把Wi-Fi连接设置为手动,只有自己想用的时候才打开。