公共場所慎用免費(fèi)WiFi 黑客15分鐘可竊取用戶信息
2012/02/29
在咖啡廳,當(dāng)你發(fā)現(xiàn)兩個Wi-Fi熱點(diǎn):一個收費(fèi)登錄;一個免費(fèi)登錄,你選擇哪個?如果不假思索地選擇“免費(fèi)”這個,那你很可能馬上“中招”,被黑客獲得個人信息和密碼——因?yàn)樗芸赡苷呛诳驮O(shè)置的釣魚網(wǎng)站!
近日,有黑客自曝在星巴克、麥當(dāng)勞這些提供免費(fèi)WiFi的公共場合,只需要用一臺Windows 7系統(tǒng)電腦、一套無線網(wǎng)絡(luò)以及一個網(wǎng)絡(luò)包分析軟件,15分鐘就可以竊取手機(jī)上網(wǎng)用戶的個人信息和密碼。業(yè)內(nèi)專家表示,天下沒有免費(fèi)的午餐,完全免費(fèi)開放的WiFi很多都可能有陷阱,用戶在進(jìn)入店家后必須向店家咨詢,登錄店家設(shè)置的官方WiFi。此外,有業(yè)內(nèi)人士表示,關(guān)于信息安全的立法應(yīng)該盡快提上日程。
黑客自爆釣魚WiFi
獲取用戶的個人私隱乃至密碼有多簡單?答案是非常簡單!“初級黑客兩個小時就能掌握竊取用戶個人信息和密碼,熟練后僅需15分鐘。”近日,有黑客發(fā)帖稱,在星巴克、麥當(dāng)勞等通常有無線熱點(diǎn)的公共場所,只要一臺Windows 7系統(tǒng)電腦、一套無線網(wǎng)絡(luò)及一個網(wǎng)絡(luò)包分析軟件,設(shè)置一個釣魚性質(zhì)的無線Wi-Fi熱點(diǎn)AP,就能輕松搭建出一個“釣魚”Wi-Fi。這個釣魚Wi-Fi不設(shè)密碼。由于普通用戶很難察覺黑客搭建的偽造WiFi的真假,一旦連入,黑客只需15分鐘就可以竊取手機(jī)上網(wǎng)用戶的個人信息和密碼,包括網(wǎng)銀密碼、炒股賬號密碼等。
根據(jù)該黑客透露的設(shè)置釣魚Wi-Fi的詳細(xì)“教程”,在星巴克、麥當(dāng)勞等有無線Wi-Fi的地方,通過Win7電腦、無線網(wǎng)絡(luò)和Wireshark軟件,即可設(shè)置出釣魚的WiFi。這個釣魚WiFi需要起一個具備欺騙性的名字,比如“Starbucks 2”。
由于正規(guī)的星巴克和麥當(dāng)勞都需要輸入繁瑣的密碼認(rèn)證才能使用。而這個釣魚Wi-Fi熱點(diǎn)不會設(shè)置密碼。當(dāng)用戶進(jìn)入星巴克后,會同時搜索到星巴克的官方WiFi和帶有欺騙性質(zhì)的“Starbucks 2”熱點(diǎn)。由于“Starbucks 2”不需要密碼, 用戶自然會首先連接該熱點(diǎn)。這樣一來,當(dāng)某用戶訪問live或者gmail等https網(wǎng)站時, 提交的用戶名和密碼會被Wireshark軟件截取到。
手機(jī)電腦都易中招
該黑客網(wǎng)友還表示,如果使用UC手機(jī)瀏覽器會特別容易“出事”,原因是使用UC瀏覽器登錄用戶名和密碼均使用明文密碼。所謂“明文密碼”,就是指網(wǎng)站保存密碼或網(wǎng)絡(luò)傳送密碼的時候,用的是可以看得懂的明文字符,而不是經(jīng)過加密后的密文。
針對這個網(wǎng)帖指控,UC優(yōu)視公司隨即發(fā)表聲明稱:“這是競爭對手的刻意抹黑”。UC公司表示,該公司已迅速按照文章內(nèi)容進(jìn)行驗(yàn)證,但網(wǎng)貼所指情況完全無法復(fù)現(xiàn)。此后,UC優(yōu)視進(jìn)行了一次全平臺的安全驗(yàn)證和檢查,發(fā)現(xiàn)在iPhone版本的UC瀏覽器存在一個極端情況下的漏洞,隨后UC優(yōu)視立即上線了新的iPhone版本。
不過UC公司也表示,如果用戶在公共場所連接任何不安全的釣魚Wi-Fi,無論用手機(jī),還是用計算機(jī),信息都可能被黑客捕獲,因此要注意識別釣魚Wi-Fi。
專家觀點(diǎn)
WiFi登錄方式應(yīng)簡化
有法律專家在接受記者采訪時表示,WiFi熱點(diǎn)已經(jīng)成為潮人上網(wǎng)的重要方式,但目前國內(nèi)信息安全立法滯后,導(dǎo)致類似的釣魚Wi-Fi難以監(jiān)管。他建議,國內(nèi)立法機(jī)關(guān)有必要盡快出臺信息安全法律對類似行為進(jìn)行監(jiān)管。
也有業(yè)內(nèi)人士表示,許多用戶之所以容易被釣魚Wi-Fi設(shè)套,大部分是為了貪便宜和方便等原因,樂意在公共場所搜索免費(fèi)Wi-Fi使用,從未想過類似釣魚Wi-Fi的存在。對此,運(yùn)營商也要負(fù)一部分責(zé)任。該人士表示,其實(shí)目前三大運(yùn)營商均在積極鋪設(shè)WiFi熱點(diǎn),但運(yùn)營商Wi-Fi登錄無一例外需要短信認(rèn)證等方式,非常繁瑣。而一些連鎖咖啡廳和餐廳在與運(yùn)營商合作推廣WiFi后,不但沒有簡化登錄手續(xù),反而讓登錄變得更加困難。如此無疑加大了釣魚Wi-Fi設(shè)陷阱成功的可能性。因此,三大運(yùn)營商需要考慮提供更簡便的Wi-Fi登錄方式,以方便Wi-Fi一族。
專家支招
三招防止釣魚Wi-Fi
1.謹(jǐn)慎辨認(rèn)官方熱點(diǎn)
用戶如何避免不被WiFi“釣魚”?據(jù)業(yè)內(nèi)專家表示,最重要的預(yù)防途徑是要看清Wi-Fi熱點(diǎn)的名稱。有業(yè)內(nèi)信息安全業(yè)內(nèi)專家表示,為了成功將用戶“釣入網(wǎng)”,黑客一般會起一個跟店鋪官方Wi-Fi非常相近、非常容易迷惑人的Wi-Fi名字。比如,如果在星巴克和KFC,則可能起一個Starbucks 2、KFC等。因此用戶在上網(wǎng)時,一定要問清現(xiàn)場柜臺人員哪個才是官方Wi-Fi,不能輕易選擇。
2.選擇運(yùn)營商熱點(diǎn)
此外,應(yīng)該盡可能選擇運(yùn)營商Wi-Fi熱點(diǎn)。相對而言,在公共場合,目前國內(nèi)運(yùn)營商提供的免費(fèi)Wi-Fi熱點(diǎn)安全性相對較高。以廣州為例,目前三大運(yùn)營商均為自身客戶提供了免費(fèi)的Wi-Fi熱點(diǎn),用戶可以通過電話或短信,獲取免費(fèi)的WiFi賬號、密碼。如果用戶是要使用網(wǎng)上金融工具的時候,則應(yīng)該使用安全程度更高的3G網(wǎng)絡(luò)。
3.不打開Wi-Fi自動鏈接
在有些手機(jī)的網(wǎng)絡(luò)設(shè)置中,有Wi-Fi自動連接的功能,只要有免費(fèi)的Wi-Fi就自動連接。但往往這些用戶很容易就在“不知情”的情況下落入別人的圈套。因此,用戶最好把Wi-Fi連接設(shè)置為手動,只有自己想用的時候才打開。
信息時報
相關(guān)閱讀:
上犹县|
辽阳市|
长春市|
邹平县|
永兴县|
犍为县|
乌拉特中旗|
渭南市|
如东县|
长垣县|
高淳县|
石泉县|
建始县|
通化市|
永康市|
阳城县|
乐山市|
麻阳|
萨迦县|
丰都县|
洛扎县|
鄂温|
竹山县|
汶川县|
德州市|
南康市|
嘉定区|
京山县|
金川县|
汉寿县|
宝鸡市|
彰化县|
兴安盟|
历史|
车险|
定结县|
武夷山市|
类乌齐县|
陕西省|
霍林郭勒市|
峨山|