WiFi蹭网是黑客攻击对象 盗刷用户网银窃取私密照

23.03.2015  11:08

  “世界上最好的邻居,就是家有WiFi但从来不设密码的邻居”。这句话引起无数网民的共鸣,找到一个不花钱的WiFi然后蹭网,确实是很多屌丝男每天下班回家后的梦想。

  央视“3·15晚会”现场演示了黑客如何利用虚假WiFi盗取晚会现场观众手机系统、品牌型号、自拍照片、邮箱账号密码等各类隐私数据。免费WiFi真的那么可怕吗?随意蹭WiFi真的靠谱吗?

  随意蹭WiFi的严重恶果(在未知的网络环境中)

  可能存在嗅探者,将我们的上网账号、密码等信息拿走;

  可能存在ARP攻击(中间人攻击),导致文件、照片等私密数据被窃取;

  可能存在恶意DNS,迫使上网者连接钓鱼网站,网银被盗刷等。

  国内公共及家用 WiFi使用概况

  公共热点WiFi 650万

  运营商WiFi 520万

  商业公共WiFi 100万

  政府公共WiFi 20万

  家用WiFi中约有3.3%的WiFi密码过于简单,有超过400万家用WiFi密码设置不安全。在Android联网用户中有49.75%的人会使用WiFi联网。这其中86.03%的用户喜爱用WiFi上网聊天,有62.05%的人吐槽WiFi连接太麻烦,竟然需要密码。而仅仅有49.14%的人会关注WiFi安全问题。

  钓鱼网站、手机木马成作恶帮凶

  使用WiFi上网,DNS服务器是其上网过程中的一项重要环节。但DNS时常会被黑客恶意篡改,一旦使用被篡改的恶意DNS服务器访问网站,用户很有可能被劫持至钓鱼网站,最终导致通过登录网页,账号密码等个人隐私信息被盗。

  不安全WiFi热点其实就是在数据传输的上游设置了一道阀门,所有接入者的数据都通过这个阀门与相应的网站进行传输,黑客通过一些特定的攻击设备,就可以对这些数据进行记录和抓取分析。这样,接入者的账号、密码等个人信息就被不法分子一览无余。

  除了抓取用户数据包,黑客还可以通过病毒、木马程序,让接入者的设备中毒,获取终端数据,另外,免费WiFi给黑客植入钓鱼网站提供了便利。通过相关技术,黑客可以在接入者浏览网站时植入一段HTML代码,使其自动跳转到钓鱼网站。如果此时登录银行、支付宝等进行电子商务交易,接入者就会面临更严重的经济损失。

  WiFi安全防护方案

  1 关掉共享,不要自动连接WiFi网络。在不需要上网时,及时关闭手机WiFi信号,避免手机自动连接WiFi引发不必要的安全隐患,当然也可以将WiFi连接设置改为手动,使网络连与不连都掌握在自己手中。

  2 拒绝来源不明的WiFi。公共场合使用WiFi热点时,一定要与现场的工作人员确认,在确定是官方提供的WiFi信号后再使用。一些WiFi陷阱专门以机场、咖啡馆等公共场所的名称命名,使人难辨真假。

  3 使用官方正规的360手机卫士、腾讯手机管家等WiFi管理软件来检测WiFi安全性。如发现有问题,可接入专用安全网络,保护整个支付环境的安全。

  4 尽量不使用陌生WiFi网购。在公共WiFi下最好不要登录涉及支付、财产相关账号密码,即便当前WiFi较为安全。如非要登录可使手机切换至2G/3G/4G流量网络。

  5 不要随意泄露信用卡和银行卡密码。信用卡、银行卡密码等均为高敏感个人信息,直接关联财产安全,使用者不要轻易透露他人,以免遭到恶意利用。

  6 最好用手机客户端进行购物、支付等操作。手机网购、银行客户端等多采用如客户端绑定、SSL加密技术、超时退出等多重先进加密手段,防止被他人截获,确保交易安全,相比登录网页操作的安全性更高。

  7 尤其要特别警惕同一地区有多个相同或相似名字的WiFi。出现这一情况,很有可能有黑客搭建钓鱼WiFi,以官方WiFi名称命名,诱骗用户点击最终截获手机中密码等高敏感信息,因此要格外留意。

  8 个人社交账号密码以及网银密码等信息要定期更改。防止因其他网站信息泄露而造成支付账户的资金损失。同时,各网站账号密码应该尽量差异化,账号密码尽量复杂化,内容最好涵盖“大写字母+小写字母+数字+符号”。

  (资料整理/冯林林  陈爱军    制图/刘五湖)

编辑:覃凤妮