卡卡網(wǎng)

相信不少人都在星巴克、麥當(dāng)勞等公共場(chǎng)所上過WiFi，而對(duì)于安全隱患這個(gè)意識(shí)，我想大多數(shù)人在使用公共WiFi熱點(diǎn)的時(shí)候都是沒有的。今天，這里便給大家報(bào)道一下使用公共WiFi熱點(diǎn)的不安全性，希望大家能夠提高安全隱患意識(shí)。

使用公共WiFi熱點(diǎn)不安全性

星巴克等公共WiFi熱點(diǎn)不安全 被人利用搭建釣魚WiFi熱點(diǎn)

前段時(shí)間有媒體爆料稱，在星巴克等公共Wi-Fi熱點(diǎn)中，有黑客透過利用一臺(tái)筆記本電腦和黑客軟件，簡(jiǎn)便地搭建一個(gè)釣魚Wi-Fi熱點(diǎn)，然后將這個(gè)熱點(diǎn)修改成一個(gè)與官方網(wǎng)站類似的名稱，不設(shè)置密碼，坐等用戶登陸該釣魚Wi-Fi，黑客即可獲取用戶私隱信息。事件曝光后，有報(bào)道建議，用戶在公共場(chǎng)所盡量采用運(yùn)營(yíng)商提供的WLAN熱點(diǎn)以降低風(fēng)險(xiǎn)。不過，近日有不愿意透露姓名的資深技術(shù)專家向記者透露，運(yùn)營(yíng)商WLAN其實(shí)也不能保證百分百安全。

“只要進(jìn)入同一熱點(diǎn)范圍就會(huì)存在風(fēng)險(xiǎn)。”該技術(shù)專家向記者表示，通訊運(yùn)營(yíng)商的WLAN熱點(diǎn)與咖啡廳的WLAN熱點(diǎn)并沒有區(qū)別，其鏈接基本上分為兩個(gè)過程：第一步，先接入“WLAN網(wǎng)絡(luò)”；第二步，對(duì)外連接公網(wǎng)。 “當(dāng)所有人都接入網(wǎng)絡(luò)呆在一起，此時(shí)就可以進(jìn)行監(jiān)聽。” 而此前繁瑣的利用手機(jī)獲取密碼的過程，僅僅是接入公網(wǎng)的過程，也無法防止監(jiān)聽的發(fā)生。

該專家表示，三大運(yùn)營(yíng)商今年每家都會(huì)建設(shè)100萬個(gè)WLAN熱點(diǎn)，黑客只要和用戶同時(shí)接入任何一個(gè)熱點(diǎn)上網(wǎng)，理論上就能透過技術(shù)手段監(jiān)聽。

WAPI標(biāo)準(zhǔn)對(duì)于WLAN安全性的提升功能幾乎為零

值得關(guān)注的是，中國(guó)WLAN建設(shè)實(shí)際上是采用被國(guó)內(nèi)專家譽(yù)為“更加安全”的國(guó)產(chǎn)WAPI標(biāo)準(zhǔn)。但上述專家透露，WAPI標(biāo)準(zhǔn)對(duì)于WLAN安全性的提升功能幾乎為零。

據(jù)了解，所謂WAPI（WLAN Authentication and Privacy Infrastructure）的提出最初完全是基于安全性的考慮。由于此前大部分WLAN采用的是安全性不高的802.11B作為無線傳輸協(xié)議，很容易被黑客截取數(shù)據(jù)包，因此才采用國(guó)產(chǎn)的WAPI技術(shù)。根據(jù)公開資料，WAPI采用特殊算法，具備特殊的加密保護(hù)，安全性和兼容性更高。

不過，該技術(shù)專家表示，即便是采用WAPI技術(shù)，根據(jù)理論和實(shí)驗(yàn)發(fā)現(xiàn)，手段與傳統(tǒng)Wi-Fi沒有區(qū)別，黑客只需要將用戶誘騙到同一個(gè)熱點(diǎn)中， WAPI依舊無法防備釣魚網(wǎng)站的安全性問題。

手機(jī)鏈接WLAN上網(wǎng)安全加密難

目前越來越多人采用手機(jī)鏈接WLAN上網(wǎng)，由于許多手機(jī)，尤其是中低端智能手機(jī)在硬件和軟件上遠(yuǎn)遠(yuǎn)不如傳統(tǒng)電腦，這導(dǎo)致采用更安全的加密方式變得不可能。

專家表示，要安全就要加密，但加密有可能導(dǎo)致使用緩慢。

公共WiFi上網(wǎng)會(huì)危害銀行賬戶安全

在星巴克、麥當(dāng)勞這些提供免費(fèi)WiFi的公共場(chǎng)合，用一臺(tái)Win7系統(tǒng)電腦、一套無線網(wǎng)絡(luò)及一個(gè)網(wǎng)絡(luò)包分析軟件，15分鐘就可以竊取手機(jī)上網(wǎng)用戶的個(gè)人信息和密碼。國(guó)內(nèi)某知名安全機(jī)構(gòu)的工程師承認(rèn)，這個(gè)真可以做到。

其實(shí)，無論你使用電腦、iPad、還是手機(jī)，只要通過WiFi上網(wǎng)，數(shù)據(jù)都有可能被控制這部WiFi設(shè)備的黑客電腦截獲到，其實(shí)也未必一定是Win7系統(tǒng)，信息是有可能被竊取的，當(dāng)然包括未經(jīng)加密處理的用戶名和密碼信息。但是，無論什么系統(tǒng)的電腦，架設(shè)了多么高級(jí)的WiFi熱點(diǎn)，黑客都無法在用戶正確操作下獲取網(wǎng)銀和支付寶密碼，更不要說盜竊其中的錢了。

警惕釣魚網(wǎng)站

警惕釣魚網(wǎng)站

不少賬戶被盜的案例其實(shí)是因?yàn)樵L問了釣魚網(wǎng)站。他們偽裝成正規(guī)的銀行頁面或是支付頁面，騙取你輸入的帳戶名和密碼，而這未必一定需要通過WiFi熱點(diǎn)這種方式來實(shí)現(xiàn)，任何上網(wǎng)的方式都有可能上當(dāng)。不過，公共的WiFi確實(shí)提供了植入釣魚網(wǎng)站的潛力，利用ARP欺騙，可以在用戶瀏覽網(wǎng)站時(shí)植入一段HTML代碼，使其自動(dòng)跳轉(zhuǎn)到釣魚網(wǎng)站。從這個(gè)角度說，公共WiFi網(wǎng)絡(luò)為用戶提供了一個(gè)便利的釣魚環(huán)境。

避免被釣要注意使用安全。一方面，需要對(duì)別人發(fā)來的網(wǎng)絡(luò)地址多留心，因?yàn)檫@個(gè)地址可能非常接近如淘寶、網(wǎng)上銀行的域名地址，打開的頁面也幾乎和真實(shí)的頁面完全一致，但是實(shí)際你進(jìn)入的是一個(gè)偽裝的釣魚網(wǎng)站；另一方面，盡量選擇具有安全認(rèn)證功能的瀏覽器，這些瀏覽器能夠自動(dòng)提示你打開的頁面是否安全，避免進(jìn)入釣魚網(wǎng)站。對(duì)于智能手機(jī)用戶，在下載和交易有關(guān)的客戶端軟件時(shí)盡量選擇官方渠道下載，不要安裝來路不明的客戶端。

結(jié)論： 銀行賬戶是否安全與手機(jī)是否是通過免費(fèi)的WiFi上網(wǎng)，并沒有必然的聯(lián)系。使用基于WAP客戶端的手機(jī)銀行是安全的，用電腦通過https使用個(gè)人網(wǎng)上銀行也是安全的，但不要用手機(jī)上個(gè)人網(wǎng)上銀行，現(xiàn)在銀行也還不支持這項(xiàng)業(yè)務(wù)。用電腦上個(gè)人網(wǎng)上銀行時(shí)，請(qǐng)核實(shí)下https和地址欄后面的小掛鎖標(biāo)志。

相關(guān)鏈接

警惕“來自百度推廣的郵件”的釣魚網(wǎng)站baicas

連續(xù)幾天，我都收到標(biāo)題為“請(qǐng)及時(shí)確認(rèn)來自百度推廣的郵件！”這樣的郵件。

信件里，“《百度推廣》”內(nèi)的四個(gè)字連接到http://baicas.com/這個(gè)網(wǎng)站，后來又變更為http://cas-baibu.com/，我估計(jì)以后還會(huì)有更多不同的網(wǎng)址出現(xiàn)。

。。。