505047.com_公共場(chǎng)所慎用免費WiFi 黑客15分鐘可竊取用戶(hù)信息_Wi-Fi

公共場(chǎng)所慎用免費WiFi 黑客15分鐘可竊取用戶(hù)信息

2012/02/29

　　在咖啡廳，當你發(fā)現兩個(gè)Wi-Fi熱點(diǎn)：一個(gè)收費登錄；一個(gè)免費登錄，你選擇哪個(gè)？如果不假思索地選擇“免費”這個(gè)，那你很可能馬上“中招”，被黑客獲得個(gè)人信息和密碼——因為它很可能正是黑客設置的釣魚(yú)網(wǎng)站！

　　近日，有黑客自曝在星巴克、麥當勞這些提供免費WiFi的公共場(chǎng)合，只需要用一臺Windows 7系統電腦、一套無(wú)線(xiàn)網(wǎng)絡(luò )以及一個(gè)網(wǎng)絡(luò )包分析軟件，15分鐘就可以竊取手機上網(wǎng)用戶(hù)的個(gè)人信息和密碼。業(yè)內專(zhuān)家表示，天下沒(méi)有免費的午餐，完全免費開(kāi)放的WiFi很多都可能有陷阱，用戶(hù)在進(jìn)入店家后必須向店家咨詢(xún)，登錄店家設置的官方WiFi。此外，有業(yè)內人士表示，關(guān)于信息安全的立法應該盡快提上日程。

　　黑客自爆釣魚(yú)WiFi

　　獲取用戶(hù)的個(gè)人私隱乃至密碼有多簡(jiǎn)單？答案是非常簡(jiǎn)單！“初級黑客兩個(gè)小時(shí)就能掌握竊取用戶(hù)個(gè)人信息和密碼，熟練后僅需15分鐘。”近日，有黑客發(fā)帖稱(chēng)，在星巴克、麥當勞等通常有無(wú)線(xiàn)熱點(diǎn)的公共場(chǎng)所，只要一臺Windows 7系統電腦、一套無(wú)線(xiàn)網(wǎng)絡(luò )及一個(gè)網(wǎng)絡(luò )包分析軟件，設置一個(gè)釣魚(yú)性質(zhì)的無(wú)線(xiàn)Wi-Fi熱點(diǎn)AP，就能輕松搭建出一個(gè)“釣魚(yú)”Wi-Fi。這個(gè)釣魚(yú)Wi-Fi不設密碼。由于普通用戶(hù)很難察覺(jué)黑客搭建的偽造WiFi的真假，一旦連入，黑客只需15分鐘就可以竊取手機上網(wǎng)用戶(hù)的個(gè)人信息和密碼，包括網(wǎng)銀密碼、炒股賬號密碼等。

　　根據該黑客透露的設置釣魚(yú)Wi-Fi的詳細“教程”，在星巴克、麥當勞等有無(wú)線(xiàn)Wi-Fi的地方，通過(guò)Win7電腦、無(wú)線(xiàn)網(wǎng)絡(luò )和Wireshark軟件，即可設置出釣魚(yú)的WiFi。這個(gè)釣魚(yú)WiFi需要起一個(gè)具備欺騙性的名字，比如“Starbucks 2”。

　　由于正規的星巴克和麥當勞都需要輸入繁瑣的密碼認證才能使用。而這個(gè)釣魚(yú)Wi-Fi熱點(diǎn)不會(huì )設置密碼。當用戶(hù)進(jìn)入星巴克后，會(huì )同時(shí)搜索到星巴克的官方WiFi和帶有欺騙性質(zhì)的“Starbucks 2”熱點(diǎn)。由于“Starbucks 2”不需要密碼，用戶(hù)自然會(huì )首先連接該熱點(diǎn)。這樣一來(lái)，當某用戶(hù)訪(fǎng)問(wèn)live或者gmail等https網(wǎng)站時(shí)，提交的用戶(hù)名和密碼會(huì )被Wireshark軟件截取到。

　　手機電腦都易中招

　　該黑客網(wǎng)友還表示，如果使用UC手機瀏覽器會(huì )特別容易“出事”，原因是使用UC瀏覽器登錄用戶(hù)名和密碼均使用明文密碼。所謂“明文密碼”，就是指網(wǎng)站保存密碼或網(wǎng)絡(luò )傳送密碼的時(shí)候，用的是可以看得懂的明文字符，而不是經(jīng)過(guò)加密后的密文。

　　針對這個(gè)網(wǎng)帖指控，UC優(yōu)視公司隨即發(fā)表聲明稱(chēng)：“這是競爭對手的刻意抹黑”。UC公司表示，該公司已迅速按照文章內容進(jìn)行驗證，但網(wǎng)貼所指情況完全無(wú)法復現。此后，UC優(yōu)視進(jìn)行了一次全平臺的安全驗證和檢查，發(fā)現在iPhone版本的UC瀏覽器存在一個(gè)極端情況下的漏洞，隨后UC優(yōu)視立即上線(xiàn)了新的iPhone版本。

　　不過(guò)UC公司也表示，如果用戶(hù)在公共場(chǎng)所連接任何不安全的釣魚(yú)Wi-Fi，無(wú)論用手機，還是用計算機，信息都可能被黑客捕獲，因此要注意識別釣魚(yú)Wi-Fi。

　　專(zhuān)家觀(guān)點(diǎn)

　　WiFi登錄方式應簡(jiǎn)化

　　有法律專(zhuān)家在接受記者采訪(fǎng)時(shí)表示，WiFi熱點(diǎn)已經(jīng)成為潮人上網(wǎng)的重要方式，但目前國內信息安全立法滯后，導致類(lèi)似的釣魚(yú)Wi-Fi難以監管。他建議，國內立法機關(guān)有必要盡快出臺信息安全法律對類(lèi)似行為進(jìn)行監管。

　　也有業(yè)內人士表示，許多用戶(hù)之所以容易被釣魚(yú)Wi-Fi設套，大部分是為了貪便宜和方便等原因，樂(lè )意在公共場(chǎng)所搜索免費Wi-Fi使用，從未想過(guò)類(lèi)似釣魚(yú)Wi-Fi的存在。對此，運營(yíng)商也要負一部分責任。該人士表示，其實(shí)目前三大運營(yíng)商均在積極鋪設WiFi熱點(diǎn)，但運營(yíng)商Wi-Fi登錄無(wú)一例外需要短信認證等方式，非常繁瑣。而一些連鎖咖啡廳和餐廳在與運營(yíng)商合作推廣WiFi后，不但沒(méi)有簡(jiǎn)化登錄手續，反而讓登錄變得更加困難。如此無(wú)疑加大了釣魚(yú)Wi-Fi設陷阱成功的可能性。因此，三大運營(yíng)商需要考慮提供更簡(jiǎn)便的Wi-Fi登錄方式，以方便Wi-Fi一族。

　　專(zhuān)家支招

　　三招防止釣魚(yú)Wi-Fi

　　1.謹慎辨認官方熱點(diǎn)

　　用戶(hù)如何避免不被WiFi“釣魚(yú)”？據業(yè)內專(zhuān)家表示，最重要的預防途徑是要看清Wi-Fi熱點(diǎn)的名稱(chēng)。有業(yè)內信息安全業(yè)內專(zhuān)家表示，為了成功將用戶(hù)“釣入網(wǎng)”，黑客一般會(huì )起一個(gè)跟店鋪官方Wi-Fi非常相近、非常容易迷惑人的Wi-Fi名字。比如，如果在星巴克和KFC，則可能起一個(gè)Starbucks 2、KFC等。因此用戶(hù)在上網(wǎng)時(shí)，一定要問(wèn)清現場(chǎng)柜臺人員哪個(gè)才是官方Wi-Fi，不能輕易選擇。

　　2.選擇運營(yíng)商熱點(diǎn)

　　此外，應該盡可能選擇運營(yíng)商Wi-Fi熱點(diǎn)。相對而言，在公共場(chǎng)合，目前國內運營(yíng)商提供的免費Wi-Fi熱點(diǎn)安全性相對較高。以廣州為例，目前三大運營(yíng)商均為自身客戶(hù)提供了免費的Wi-Fi熱點(diǎn)，用戶(hù)可以通過(guò)電話(huà)或短信，獲取免費的WiFi賬號、密碼。如果用戶(hù)是要使用網(wǎng)上金融工具的時(shí)候，則應該使用安全程度更高的3G網(wǎng)絡(luò )。

　　3.不打開(kāi)Wi-Fi自動(dòng)鏈接

　　在有些手機的網(wǎng)絡(luò )設置中，有Wi-Fi自動(dòng)連接的功能，只要有免費的Wi-Fi就自動(dòng)連接。但往往這些用戶(hù)很容易就在“不知情”的情況下落入別人的圈套。因此，用戶(hù)最好把Wi-Fi連接設置為手動(dòng)，只有自己想用的時(shí)候才打開(kāi)。

信息時(shí)報

Wi-Fi聯(lián)盟結束試點(diǎn) 連接NGH網(wǎng)絡(luò )即將面世 2012-02-24

3G、WiFi皆可手機淘寶無(wú)線(xiàn)網(wǎng)購環(huán)境更趨成熟 2012-02-24

SK電訊Wi-Fi服務(wù)速度最快可提高30% 2012-02-23

愛(ài)立信收購加拿大WiFi技術(shù)公司BelAir Networks 2012-02-22