央视3·15晚会揭露了黑客通过伪造WIFI网络窃取公民信息的事件,引发广大网民对网络安全的高度关注。为了深入了解如何安全使用WIFI,我们特别采访了360公司的资深安全专家。专家指出,当前黑客窃取WIFI用户信息的主要手段包括“域名劫持”和“钓鱼WIFI”,这两种技术并不复杂,具备一定计算机基础的人都能轻易掌握。因此,专家建议网民在上网时应提高警惕,避免使用公共场所的WIFI,不随意连接免费WIFI网络,减少进行网银、网购等敏感操作,从而有效保护个人信息安全。
深度调查:公共场所免费WIFI暗藏风险
根据2015年第35次中国互联网络发展状况统计报告的数据,截至2014年12月,中国手机网民规模已达到5.57亿人,使用手机上网的人群占比从2013年的81.0%上升至85.8%,手机网民规模已超过传统PC网民。随着移动设备的普及,移动数据流量需求日益增长,WIFI网络成为重要的数据补充方式。许多餐厅、车站、办公场所等公共场所都提供免费WIFI服务,虽然方便了用户,但也带来了安全隐患。许多人在使用公共场所提供的免费网络时并未意识到,自己的敏感信息可能在不经意间被窃取,甚至导致经济损失。
黑客常用手段:伪装WIFI名称诱骗用户
目前,黑客利用WIFI窃取用户财产和隐私的主要方式有两种:域名劫持和钓鱼WIFI。域名劫持是指黑客入侵公共场所的WIFI系统,篡改域名系统。当用户连接该WIFI并登录银行系统时,服务器会将IP地址重定向到黑客设置的钓鱼网站。这些山寨网站与原网站高度相似,一旦用户在网页上登录,黑客就能获取用户的全部银行卡信息。而钓鱼WIFI则是黑客在人流密集区域释放一个WIFI信号,并将WIFI名称伪装成本地知名餐厅或运营商的名称,如“starbucks”、“cmcc”等,且不设置密码,诱导附近用户连接。在钓鱼WIFI环境下,用户进行网购或任何操作时,都相当于在黑客的监控之下,个人信息和密码极易泄露。
360安全专家表示,黑客的技术门槛并不像人们想象的那么高,一个普通计算机用户也能在短时间内掌握这些技能。记者在百度搜索相关关键词“窃取WIFI密码”得到280万个结果,“域名劫持技术”有15万个结果,“建立钓鱼WIFI”有73.9万个结果。这些搜索结果中,不乏提供破解方法、破解软件甚至教学视频的内容。这意味着,曾经被视为高智商、神秘莫测的黑客,在无底线的赚钱欲望驱使下,已成为庞大的“网络小偷”群体,技术门槛因各种软件和教程的普及而不断降低,普通网民面临的安全风险也随之增大。记者还发现,通过某款软件进行WiFi安全测试,可以轻易映射网络,搜索已知漏洞,使用多种TCP协议破解登录程序,执行中间人攻击,如密码嗅探、实时交通操作等。手机接入WLAN后,可以扫描同段设备的端口开放情况、服务类型、操作系统类型,进行安全评估。甚至可以抓取数据包、记录密码、破解口令、篡改对方上网会话内容,包括图片、视频、文字等,还能弹窗显示信息。
WiFi安全测试工具
安全防范:避免贪图免费WIFI的小便宜
首先,谨慎使用公共场所的WIFI热点。特别是在人流密集的地区,那些可以直接连接且无需验证或密码的公共WIFI很可能就是黑客设置的钓鱼陷阱,应尽量避免使用。
其次,在使用公共场所的WIFI热点时,尽量不进行网购和网银操作,以免个人账号密码等重要信息在不经意间泄露。
第三,手机会记录使用过的WIFI热点,如果WiFi开关处于打开状态,手机会不断搜索周边的WIFI信号,一旦遇到同名的热点就会自动连接,存在被钓鱼的风险。因此,进入公共区域后,尽量不要打开WiFi开关,或者将WiFi设置为锁屏后不再自动连接,以避免在不知情的情况下连接到恶意WIFI。
第四,家里的路由器密码一定要及时修改。黑客破解WIFI密码的速度与密码的复杂程度、黑客使用的“密码字典”、电脑运算能力等因素直接相关。根据实测,采用WPA/WPA2加密方式的情况下,纯数字密码通常在5分钟内即可破解,数字组合越有规律,破解速度越快,如12345678、88888888这类弱密码,几乎可以秒破;小写字母组合次之,10分钟内大多也能破解;而“小写字母+数字”、“大小写字母”组合的密码破解难度较高,如asd123456、abcd1234这类常见密码,一小时内也能破解。如果是比较古怪生僻的组合,可能需要几个小时;最难破解的是“大小写字母+数字+特殊符号”组合,正常情况下几个小时内都破解不了,黑客可能就会放弃。
最后,无论是在手机端还是电脑端,都应安装安全软件。安全软件可以及时拦截和提醒黑客常用的钓鱼网站等攻击手法。360免费WiFi应用在用户连接热点时,会对该热点进行多项安全扫描,包括DNS防篡改、防ARP攻击、防钓鱼WIFI等;此外,如果用户因钓鱼WIFI而遭受网上银行财产损失,360将提供单笔最高6000元、全年累计最高10万元的赔付,最大限度降低用户的财产损失。
