北上广六成WiFi热点不安全 杭州的WiFi安全吗

爱立信

工程师正在利用“钓鱼wifi”窃取手机用户的相关信息。

    你用什么上网？如今，许多人网购的终端已经从电脑换成了移动端。阿里巴巴公布的数据表明，今年双十一当天成交量中，移动端交易额占比68%。

    接下来又将迎来“双十二”，在一片“买买买”的节奏下，网络安全性问题也越来越得到关注，尤其是已成为移动终端用户必需品的WiFi。

    日前，国家网络安全宣传周在启动仪式上发布的《我国公众网络安全意识调查报告》显示，我国超八成网民随意连接公共免费WiFi。同时，信息安全组织“雨袭团”发布的调查数据显示，北上广等国内一线城市超过六成的WiFi热点并不安全。

    铺天盖地的公共WiFi，的确给人们带来了不少的便利。但是这么多“免费午餐”，真的都安全吗？这几天，记者在杭城进行了一番调查。

    北上广六成WiFi热点不安全

    带来方便的同时也隐藏危机

    对很多年轻人来说，不管是去吃饭，还是去K歌，或只是找个地方喝杯饮料休息一下，坐下后的第一个动作就是打开手机看看是否有免费WiFi可以上。

    而“提供免费WiFi”也成为机场、火车站、商业中心，甚至街边小店用以招徕、服务消费者的主要手段。但是，数量众多的WiFi在给我们的生活带来便利的同时，却也隐藏着危险的隐患。

    360手机安全中心发布的《2015年中国WiFi安全绿皮书》显示，每年因蹭网带来网银被盗、账号被盗等经济损失高达50亿元，引发的个人信息泄露也呈逐年上升趋势。

    比方说，在我们日常能够搜索到的免费WiFi中，有一部分就是“钓鱼WiFi”。

    当你连接上这类“钓鱼WiFi”时，你使用的移动端就会被对方反扫描，如果这时你正好通过移动端在进行数据通信，且涉及到了用户名、密码、身份证号等，相关数据就会被对方所窃取，而你对此一无所知。

    信息安全组织“雨袭团”发布的调查数据显示，在对北上广三地的机场、火车站、旅游景点、商业中心等6万多个WiFi信号进行调查后发现，有高达8.5%的WiF信号为“钓鱼WiFi”，可能存在修改并植入恶意软件、盗取账号密码等风险。

    这些“钓鱼WiFi”是如何获取到用户信息的，日常生活中又该如何防范这类“钓鱼WiFi”呢？

    记者找到了曾先后为北京奥运会、国庆60周年庆典、首届世界互联网大会等重大活动提供信息安全保障，并且是杭州十家网络与信息安全应急处置单位之一的杭州安恒信息技术有限公司的工程师王敏伟，在杭城的闹市中心及火车站等人流密集点，对公共WiFi的安全性进行了一番测试调查。

    在杭城闹市和火车东站现场检测

    “钓鱼WiFi”移动性隐蔽性很强

    前天上午9点半，记者来到了人流量比较密集的杭州火车东站的到达层，放眼望去，车站大厅里捧着手机的低头族不在少数。

    记者随机采访了几名正在玩手机的市民。

    小张是在杭州某大学念书的学生，正等着接一个外地来杭的朋友，朋友所乘坐的高铁还没到站，他就刷着手机打发时间。

爱立信

    “我搜了一下，有免费的WiFi，就连上使用了，包月的流量也要省着点用么。”小张的回答和我之后问的几个年轻人的答案如出一辙。

    记者也打开了手机，一下子跳出来10个有信号的WiFi，其中5个是不设密码的免费WiFi。那么，这些公共免费WiFi到底安全吗？

    工程师王敏伟对这些免费WiFi进行了连接，并用专门的软件对这些WiFi的安全性进行了排查。结果让人松了一口气，没有发现“钓鱼WiFi”的存在。

    随即，记者又和王敏伟来到位于武林商圈的一家商场前的广场上，在这里能在手机上搜到WiFi信号更是多达10多个，其中六七个是不设密码的免费WiFi。而经过排查，这些WiFi也没有什么问题，是安全的。

    王敏伟提醒记者，虽然在这两处的现场测试没有抓取到“钓鱼WiFi”，但并不意味着网络环境就是安全的。

    “要在短时间内，找到一个‘钓鱼WiFi’其实是需要碰运气的。”王敏伟解释道，“因为制作一个不安全的WiFi十分简单，花上几十元钱，买一个路由器就可以操作了。而且这类钓鱼WiFi还具有很强的移动性，你根本无法事先知道它在哪里，一旦对方发现，也能很快隐蔽起来，让信号就此消失。”

    工程师现场演示“钓鱼WiFi”操作流程

    用户输入的信息完全隐形

    那么，“钓鱼WiFi”到底是如何窃取我们的数据信息的呢？王敏伟做了一个实验，演示了整个过程。

    首先，王敏伟利用一台装了无线网卡的平板电脑，构建了一个“www-free”的WiFi热点，这就是一个“钓鱼WiFi”。

    接着，记者用手机登录了一个常用的社交网站，登录后被求输入账号和密码。

    而就在记者用手机输入账号和密码并登录的同时，王敏伟的平板电脑上已显示，“钓鱼WiFi”的后台已经抓取到了在手机上输入的账号和密码。

    在王敏伟的一番操作下，他轻松地绕开了记者的手机，直接掌握了记者已登录的账户。

    随后，记者又多次输入不同的账号及密码，结果这些内容都无一例外地都出现在了“钓鱼WiFi”的后台。

    王敏伟说，目前不法分子常用的“钓鱼WiFi”方式主要有两种，刚刚他使用的就是其中的一种，叫JS注入攻击。

爱立信

这种攻击方式也称为中间人攻击，原理是连入“钓鱼WiFi”后，用户在打开网页时，会被注入一段JS脚本，然后从海量的包文中抓取有用户账号密码等信息的包文，就像把一盘沙子不停地抖动，最后找出当中的那一粒金沙，因此这个过程会对网速产生影响。

    还有一种DNS欺骗是目前最广泛的一种方式。

    “当你要访问一个网站时，系统会先把域名解析成IP，再访问到该IP地址的服务器。但是不法分子会把‘钓鱼WiFi’路由器内的DNS设置修改成自己的服务器，若用户连上‘钓鱼WiFi’后，原本访问指定网站的IP就会被替换成不法分子设定的网站IP。”

    比方说，正常的百度网站为www.baidu.com，如果你发现你所登录的网站域名变成www.baidu.com.cc时，就有可能连上了“钓鱼WiFi”。

    王敏伟解释说，“不法分子设定的网站往往跟原网站几乎一模一样，此时你在该网站输入的所有信息，就会被‘钓鱼WiFi’的后台截获，造成信息泄露。”

    如何防范“钓鱼WiFi”

    专家给你支几招

    那么对于这些“WiFi陷阱”，普通市民如何分辨如何防范呢？

    王敏伟坦言，很多“钓鱼WiFi”很难第一时间发现，不过我们可以多留个心眼，在对方窃取你的资料前，保护好自己的关键信息。

    一是如果连接一个公共WiFi，发现网速很慢，你就要当心了。

    王敏伟解释，遇到这种情况，有可能已受到JS注入攻击，因为这个过程会对网速产生影响。不过，也不意味着所有网速慢的公共WiFi都受到了JS注入攻击，但是网速这么慢用起来也不顺心，安全起见还是切断为好。

    二是注意查看登录的网站域名是否与正常网站有出入。比如你登录百度，当www.baidu.com后出现一些莫名其妙的后缀，如“.cc”时，你你很有可能就已经连上了“钓鱼WiFi”。

    三是免费WiFi跳出的对话框，要求你输入手机号码以外的信息，比如身份证号码、QQ号码等，这时候就应该及时切断该WiFi，因为这很有可能就是一个“钓鱼WiFi”。

    王敏伟解释，有些免费WiFi要求你输入手机号码，然后你会收到一组验证码，输入验证码后便可上网，这种情况一般来说不会有什么问题。

    四是搜索周边WIFI热点时，如果发现有两个或者多个雷同甚至一样的WiFi热点时，在未确认哪一个是商家真正的WiFi时，千万不要轻易连接，因为里面很可能藏着“钓鱼WiFi”。

    王敏伟还提醒大家，在连上公共WiFi后，使用微博微信等社交平台时，尽量选择客户端，少使用网页版。一方面，登录客户端时，账号密码通常情况下是已保存的，不需要再输入一次；另一方面，客户端的安全性相较于网页而言会更高一些。

    还有很重要的一点是，在连接公共WiFi时，尽量避免使用网银、支付宝等。而对一些重要的密码，尽量设置的复杂一些，最好包含大小写字母、数字和特殊符号，并且每三个月左右能对密码进行一次更换，避免不经意间泄露密码后，一直被对方所操控。

    最后，记者也提醒一句，很多人手机WiFi功能是设置“常开”的，应该关闭。现在有些黑客可以让用户的设备自动连上风险WiFi，暴露个人信息，而用户并不知情。