警惕wifi先天缺陷 15分鐘可竊取帳號密碼

????警惕“釣魚Wi-Fi”竊取你的賬號密碼

????走在沈陽大街上，用智能手機上網，手機可以自動搜索到附近的Wi-Fi網絡賬號，有時甚至有多個賬號供選擇登錄上網，這種情況在繁華街區(qū)更為明顯。多數(shù)Wi-Fi網絡賬號需要登錄密碼，而在機場、火車站、圖書館、商場、咖啡店等公共場所，Wi-Fi網絡一般是不需要密碼的，部分商家把免費Wi-Fi網絡作為招攬人氣的手段。

????“釣魚Wi-Fi”15分鐘可竊取密碼

????近日，一位網友發(fā)微博說：“今早發(fā)現(xiàn)淘寶賬號被盜，無法登錄，幸得客服給力，歷經半小時重新設置。進入賬號一看，這小偷居然大半夜的舍棄睡眠時間，潛入我的賬號買了許多中看不中用的東西，好在沒法付款，不然損失可就大了。看樣子以后不能用公用的Wi-Fi上淘寶購物了。”

????沈陽警方證實，近期警方在工作中發(fā)現(xiàn)，有黑客在互聯(lián)網上發(fā)帖，介紹如何設置釣魚Wi-Fi抓取用戶信息、竊取用戶名和密碼。

????警方表示，從目前已發(fā)案例分析，受害者一般很難發(fā)現(xiàn)黑客搭建的“釣魚Wi-Fi”的真假，一旦連入，黑客在15分鐘之內就可以竊取上網用戶的個人信息和密碼，包括網銀密碼、炒股賬號密碼等。黑客的作案地點經常是提供免費上網的場所，如肯德基、麥當勞和一些賓館、咖啡店等有無線熱點的地方。

????為了讓更多手機用戶連接到該網絡，這類惡意Wi-Fi網絡可以被任意命名，且不設密碼，可以輕松接入。犯罪分子在用戶瀏覽網頁或聊天時竊取用戶的網銀支付寶賬號等，當被害人發(fā)現(xiàn)經濟損失時，犯罪分子早已逃之夭夭。

????據了解，類似的“釣魚Wi-Fi”在國內外早已出現(xiàn)，業(yè)內人士也開始對這種犯罪形式加以關注：一位網友發(fā)帖稱，“初級黑客兩個小時就能掌握竊取UC手機瀏覽器用戶個人信息和密碼，熟練后僅需15分鐘。”該網友甚至在帖子中展示了利用釣魚Wi-Fi竊取UC手機瀏覽器用戶信息和密碼的流程。

????網上流傳的一段視頻也顯示，通過咖啡店提供的免費Wi-Fi，可以很容易地查看和拷貝使用該Wi-Fi上網的智能手機中的文件、照片和聊天記錄等。

????有專家提醒，如果在商場、酒店、機場、咖啡廳、快餐店等公共場所搜索到一個無需密碼便可免費使用的Wi-Fi網絡，最好慎重一點，當心免費的Wi-Fi是一只“披著羊皮的狼”。

????“先天缺陷”導致Wi-Fi被黑客盯上

????多次為單位設置Wi-Fi網絡的王峰告訴記者，相對于電信運營商提供的無線網絡，Wi-Fi的信號一般覆蓋幾十米到百米范圍，是典型的局域網絡。黑客通過Wi-Fi盜取上網用戶的個人信息和密碼大致通過兩個步驟，先通過Wi-Fi局域網建立釣魚網站，引受害者上網，然后用破譯密碼的軟件盜取上鉤用戶的信息。不過，銀行、金融機構、交易平臺等專業(yè)類應用服務商，一般都很重視自身的安全設置并不斷升級，對用戶信息進行嚴格審查并有效保護用戶隱私。

????公安部第一研究所專家蘇智睿指出，常規(guī)有線網絡環(huán)境中物理連接是數(shù)據交換的基礎，網絡安全的風險模型建立在物理層安全的前提下。而Wi-Fi以無線電波傳輸數(shù)據，常規(guī)有線網絡中的物理線路變成邏輯上的虛擬鏈路。這本是Wi-Fi的核心優(yōu)勢，但同時也成為犯罪者攻擊的目標。

????正因為存在著安全性上的“先天缺陷”，Wi-Fi“釣魚”就并非難事了。凡是不需要密碼直接接入的無線網絡，包括不設密碼的家庭Wi-Fi和快餐店、咖啡店、酒店、機場提供的未加密的訪問節(jié)點，它們所傳輸?shù)臄?shù)據內容都很容易被黑客截獲。

????由于目前許多智能手機和平板電腦無法采用安全系數(shù)更高的HTTPS協(xié)議訪問網站(通過HTTPS上網的速度很慢，網絡資源消耗很大)，信息被盜的潛在風險遠遠高于其他上網形式。

????據介紹，搭建“釣魚Wi-Fi”很簡單，只需要帶有無線網卡的電腦主機充當虛擬AP，其他帶有無線網卡的電腦主機就可以通過點對點的方式直接連接。不法分子建立的Wi-Fi網絡中，被釣的用戶信息會發(fā)送到不法分子用來充當主機的筆記本電腦上，引導這些被騙用戶在提前準備好的“釣魚”網站上輸入自己的個人信息和密碼，最終實現(xiàn)“釣魚”犯罪的全過程。

????在已經擁有“釣魚”網站的前提下，設置“釣魚”Wi-Fi所需的時間和成本都是極低的：僅僅需要價格幾十元到幾百元不等的覆蓋范圍從直徑幾十米乃至幾百米的無線路由器，加上隨身攜帶的筆記本電腦，便可以配置起一個Wi-Fi網絡，吸引受害者上鉤。

????“釣魚Wi-Fi”所帶來的安全隱患，除了竊取用戶信息、中間人攻擊以及網絡濫用，還能造成大范圍無線網絡癱瘓、竊聽無線網絡、發(fā)送垃圾郵件、散布木馬病毒，進行商業(yè)網絡攻擊，甚至竊聽竊取國家機密等。

????謹慎設置自動連接Wi-Fi功能

????那么，如何破解Wi-Fi所帶來的安全威脅？

????沈陽警方提醒，用戶需謹慎設置自動連接Wi-Fi功能。有些手機的網絡設置中有自動連接功能，最好把Wi-Fi連接設置為手動，只有自己想用的時候才打開。市民在公共場合選擇Wi-Fi時，一定要看清楚網絡名稱，并向店內工作人員問清用戶名、密碼等信息。

????有關專家也提出通過以下幾個方面有效降低受到來自Wi-Fi的安全威脅。

????首先是操作系統(tǒng)經常升級。經常升級智能手機或平板電腦等Wi-Fi設備的操作系統(tǒng)，使其支持更多安全選項。

????早期的無線網絡設備由于技術上的不成熟，無法支持一些主流或者更高安全性的功能。經常使用Wi-Fi的網民最好進行手動網絡配置，減少自動設置。通過手動網絡配置，雖然不一定可以完全阻止攻擊者的入侵，但在一定程度上增加了攻擊的難度，加強了對網絡的安全控制，抵擋了一部分技術水平不高的攻擊。

????此外，應安裝防火墻軟件。通過防火墻設置，可以有效抵御多種DOS攻擊。在登錄網銀、支付寶、股票證券交易網站時盡量選擇有線連接方式，防止口令等重要信息以不安全方式傳輸而導致的失竊。

????在設置無線路由器時，選用更安全的加密保護方式。采用WEP方式時采用密鑰共享(share)而非開放(open)方式，有條件時盡量使用WAP2方式。這樣可以降低介入密鑰被破解的概率。在設置密碼時避免包含個人信息，盡量降低出現(xiàn)在密碼字典中的概率，比如使用無意義的數(shù)字和字母組合。這樣可以增加采用字典進行暴力破解的難度，減少攻擊者推測出網絡關鍵信息的可能性。

????最后，公共Wi-Fi須慎重使用。網民盡量減少無線網卡連接不明免費公共Wi-Fi。避免釣魚Wi-Fi造成危害。如果一定要使用公共Wi-Fi，若已經有應用程序是登錄狀態(tài)，則需要先退出，然后清除緩存。（記者 王晨 實習生 楊林）