下午3點(diǎn)，天氣晴，本杰明背著他的黑色背包走進(jìn)了一家咖啡館。這家咖啡館的生意很好，幸運(yùn)的是他喜歡的那個(gè)僻靜角落沒(méi)有被人捷足先登。他點(diǎn)了一杯咖啡和一個(gè)三明治，禮貌地向服務(wù)員詢問(wèn)了WiFi賬號(hào)和密碼，然后熟練地從背包中取出了電腦和一個(gè)煙盒大小的黑色盒子，他的“工作”開始了……

 [[137383]]

公共WiFi風(fēng)險(xiǎn)大

下午3點(diǎn)10分，瑪麗走進(jìn)了這家咖啡館，她心情不錯(cuò)，因?yàn)榻裉觳挥蒙习?。她為自己點(diǎn)了一些甜品，然后掏出手機(jī)連上了咖啡館的免費(fèi)WiFi。她點(diǎn)開網(wǎng)頁(yè)，登錄網(wǎng)上商城瀏覽最新的商品，有兩雙漂亮的鞋子吸引了她的目光。到底買哪一雙呢?經(jīng)過(guò)反復(fù)的對(duì)比和復(fù)雜的心理斗爭(zhēng)，她終于決定把這兩雙鞋都買回家?？僧?dāng)她準(zhǔn)備進(jìn)行網(wǎng)上支付時(shí)，她驚呆了，昨天剛存入商城賬戶里的數(shù)千元錢已經(jīng)不翼而飛!此時(shí)她不會(huì)注意到，一個(gè)背著黑色背包的年輕人默默地走出了咖啡館。

以上情節(jié)不是只在電影里才會(huì)出現(xiàn)，而是可能隨時(shí)發(fā)生在我們身上。近年來(lái)，隨著移動(dòng)互聯(lián)網(wǎng)以及智能終端的迅猛發(fā)展，人們已經(jīng)愛(ài)上了隨時(shí)隨地上網(wǎng)的暢快體驗(yàn)，WiFi熱點(diǎn)也因其免費(fèi)、方便接入等特性而備受歡迎。現(xiàn)在，咖啡館、飯館、酒店和飛機(jī)場(chǎng)等公共區(qū)域，公交車、火車甚至飛機(jī)等公共交通工具上都能夠提供WiFi熱點(diǎn)接入服務(wù)，而且這些公共WiFi大都是免費(fèi)的?？墒?，在人們暢享移動(dòng)互聯(lián)體驗(yàn)的同時(shí)，信息安全風(fēng)險(xiǎn)也隨之而來(lái)?？膳碌氖牵蠖鄶?shù)人對(duì)此毫不知情!

百度移動(dòng)安全部的專家在接受《人民郵電》報(bào)記者采訪時(shí)指出，調(diào)查顯示，目前我國(guó)近80%的手機(jī)用戶每天都會(huì)連接WiFi，這其中接近10%的WiFi都是沒(méi)有設(shè)置密碼的，在當(dāng)前的公共WiFi中，隱藏安全風(fēng)險(xiǎn)的“黑WiFi”比例非常高，甚至遠(yuǎn)遠(yuǎn)超過(guò)了用戶之前比較關(guān)注的手機(jī)病毒。很多“黑WiFi”沒(méi)有密碼，并且以Starbucks、Airport free等常見(jiàn)的公共WiFi名稱命名。目前，這些公共WiFi已經(jīng)成為了不法分子竊取用戶隱私、騙取用戶錢財(cái)?shù)囊粋€(gè)新興渠道，需要廣大用戶提高警惕。

事實(shí)上，利用公共WiFi作案的門檻極低。360公司的安全專家介紹說(shuō)，一些不法分子利用網(wǎng)民想免費(fèi)上網(wǎng)的心理，在公共場(chǎng)合利用一臺(tái)電腦、無(wú)線上網(wǎng)設(shè)備及一個(gè)網(wǎng)絡(luò)包分析軟件就可搭建一個(gè)不設(shè)密碼的釣魚WiFi，整個(gè)過(guò)程只需要十幾分鐘甚至幾分鐘。不法分子可以在網(wǎng)上很容易購(gòu)買到搭建“黑WiFi”的設(shè)備，在國(guó)外一款名為“WiFi菠蘿”的此類設(shè)備已經(jīng)推出了第五代產(chǎn)品，售價(jià)僅為99.99美元，而國(guó)內(nèi)也不乏類似產(chǎn)品，一些產(chǎn)品甚至在淘寶等網(wǎng)店上公開銷售，售價(jià)僅為300元左右。不法分子甚至可以將任意一款正規(guī)的無(wú)線網(wǎng)卡改造成此類設(shè)備，成本可低至數(shù)十元。

連上釣魚WiFi后，網(wǎng)民所進(jìn)行的操作、傳輸?shù)臄?shù)據(jù)都可以被黑客監(jiān)視，黑客可從上網(wǎng)數(shù)據(jù)包里查到網(wǎng)民的登錄信息，從而竊取個(gè)人郵箱、社交軟件賬號(hào)密碼和照片等信息，還可以截獲網(wǎng)民與網(wǎng)銀、支付寶等財(cái)產(chǎn)相關(guān)的驗(yàn)證碼短信，盜取受害者的資金。即便是設(shè)有密碼的WiFi也不一定安全，黑客只需要將釣魚WiFi的賬號(hào)和密碼設(shè)置成與正規(guī)WiFi熱點(diǎn)一樣(就像上文中本杰明所做的)，當(dāng)網(wǎng)民進(jìn)入釣魚WiFi的“勢(shì)力范圍”后，他們極有可能被信號(hào)更強(qiáng)的“冒牌”WiFi所“俘獲”，所以同樣難逃魔爪。

家庭WiFi就安全嗎

近年來(lái)，“寬帶中國(guó)”戰(zhàn)略的逐步實(shí)施使許多家庭接入了寬帶網(wǎng)絡(luò)。工信部發(fā)布的《關(guān)于實(shí)施“寬帶中國(guó)”2015專項(xiàng)行動(dòng)的意見(jiàn)》提出，2015年我國(guó)還要實(shí)現(xiàn)寬帶網(wǎng)絡(luò)能力的躍升，力爭(zhēng)新增光纖到戶覆蓋家庭8000萬(wàn)戶，推動(dòng)一批城市率先成為“全光網(wǎng)城市”。許多家庭為了方便家庭成員使用各類智能終端上網(wǎng)，紛紛利用家里的固網(wǎng)寬帶搭建WiFi熱點(diǎn)。據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)中心發(fā)布的數(shù)據(jù)，2014年我國(guó)在家里使用電腦接入互聯(lián)網(wǎng)的城鎮(zhèn)網(wǎng)民中，家庭WiFi的普及比例高達(dá)81.1%。許多人認(rèn)為自己關(guān)起門來(lái)，用家里的WiFi上網(wǎng)肯定不會(huì)存在安全風(fēng)險(xiǎn)。事實(shí)真是這樣嗎?

讀者不妨先回答幾個(gè)問(wèn)題：你是否知道家中無(wú)線路由器的管理賬號(hào)和密碼，是否更改了初始賬號(hào)和密碼?你家中的WiFi熱點(diǎn)是否被加密，采用了何種加密方式?對(duì)于以上問(wèn)題，如果你沒(méi)有明確的答案，那么你就要當(dāng)心了，這意味著你的家庭WiFi隨時(shí)都有可能被“黑”。

“我家里的WiFi要輸入密碼才能登錄呀，這還不夠安全嗎?”答案是，不一定。家用的無(wú)線路由器一般有兩層密碼，一層是接入WiFi時(shí)需輸入的密碼，一層是管理路由器時(shí)需要的密碼。許多人只是設(shè)置了前者而往往忽視了后者，甚至許多人根本不知道它的存在。而為了使用方便，許多人設(shè)置的WiFi接入密碼又非常簡(jiǎn)單，如000000、123456或自己的生日等。黑客利用軟件可以很容易地“暴力破解”用戶的密碼。據(jù)360日前發(fā)布的調(diào)查報(bào)告，在全國(guó)超過(guò)1億個(gè)家用WiFi中，約有3.3%的WiFi密碼使用低級(jí)加密方式，也就是說(shuō)，有超過(guò)400萬(wàn)的家用WiFi密碼設(shè)置不安全。半年時(shí)間國(guó)內(nèi)就有9.5%的WiFi實(shí)際遭遇了蹭網(wǎng)侵害，被蹭網(wǎng)的家庭WiFi數(shù)量高達(dá)950萬(wàn)個(gè)，而我國(guó)上網(wǎng)資費(fèi)平均每年為1000元左右，帶來(lái)的網(wǎng)費(fèi)損失每年多達(dá)50億元。

更為可怕的是，黑客破解網(wǎng)民的家庭WiFi大多不只是為了蹭網(wǎng)這么簡(jiǎn)單。許多網(wǎng)民沒(méi)有對(duì)家中的無(wú)線路由器管理賬號(hào)和密碼進(jìn)行設(shè)置(許多路由器的默認(rèn)賬號(hào)和密碼均為“admin”)，黑客一旦成功接入網(wǎng)民的WiFi熱點(diǎn)，就可以隨意修改路由器的參數(shù)，并進(jìn)一步入侵接入該WiFi的智能終端，輕而易舉地竊取網(wǎng)民的照片和文件，電子郵箱、社交軟件和游戲的賬號(hào)及密碼等隱私信息，進(jìn)行網(wǎng)上銀行轉(zhuǎn)賬等操作，或者將網(wǎng)民的電腦變?yōu)?ldquo;肉雞”，構(gòu)建“僵尸網(wǎng)絡(luò)”等。

 [[137384]]

第一代“WiFi菠蘿”(左)因裝在一個(gè)形似菠蘿的盒子里而得名，而現(xiàn)在的第五代產(chǎn)品(右)只有煙盒大小，隱蔽性很強(qiáng)。

#p#

“蹭網(wǎng)神器”暗藏玄機(jī)

現(xiàn)在，互聯(lián)網(wǎng)思維在各行各業(yè)都受到了熱捧，雖然各方對(duì)其解讀眾說(shuō)紛紜，但“免費(fèi)”和“共享”無(wú)疑是其最典型的兩個(gè)特征。一些應(yīng)用開發(fā)者就嗅到了免費(fèi)WiFi所蘊(yùn)藏的商機(jī)，紛紛推出可以幫助用戶免費(fèi)“蹭WiFi”的各類應(yīng)用軟件。WiFi萬(wàn)能鑰匙、萬(wàn)能WiFi鑰匙、WiFi鑰匙萬(wàn)能工具箱等此類軟件一經(jīng)推出就大受廣大網(wǎng)民歡迎。在國(guó)內(nèi)一家知名的安卓應(yīng)用商店，WiFi萬(wàn)能鑰匙的下載量達(dá)到了驚人的2.19億次(這僅僅是一家應(yīng)用商店的下載量)。許多人沒(méi)有意識(shí)到，此類軟件隱藏著巨大的信息安全風(fēng)險(xiǎn)。

在使用方法上，此類軟件大同小異，當(dāng)用戶下載安裝此類軟件后，可以搜索到附近存在的一些WiFi熱點(diǎn)，利用該軟件，用戶可以很方便地“一鍵接入”其中的部分WiFi熱點(diǎn)(即便它們?cè)O(shè)有密碼)。如此好用的“蹭網(wǎng)神器”能給用戶帶來(lái)哪些安全威脅呢?要回答這個(gè)問(wèn)題首先得了解這些軟件的操控原理。

其實(shí)它們的原理很簡(jiǎn)單，一方面，軟件商搜集大量的公共WiFi賬號(hào)和密碼;另一方面，用戶分享他們接入的所有WiFi熱點(diǎn)的賬號(hào)和密碼，這樣一來(lái)就形成了一個(gè)大型的WiFi數(shù)據(jù)庫(kù)，當(dāng)用戶進(jìn)入這個(gè)數(shù)據(jù)庫(kù)中WiFi的覆蓋范圍時(shí)，就能夠自動(dòng)調(diào)用密碼接入該網(wǎng)絡(luò)。

對(duì)于用戶而言，最大的風(fēng)險(xiǎn)就是，當(dāng)他們連接自己的WiFi時(shí)，也會(huì)自動(dòng)分享賬號(hào)和密碼，而許多人對(duì)此毫不知情。因?yàn)樵诎惭b此類軟件的過(guò)程中，許多選項(xiàng)是默認(rèn)勾選的(如“自動(dòng)分享熱點(diǎn)”、“自動(dòng)備份”等)，而人們往往不會(huì)留意到這些細(xì)節(jié)。一旦這些賬號(hào)和密碼被不法分子所利用，就極有可能造成用戶的隱私信息泄露甚至造成財(cái)產(chǎn)損失。2014年年底，上海市楊浦區(qū)警方就曾破獲了一起非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)案，涉案黑客成功入侵了一家開發(fā)免費(fèi)WiFi熱點(diǎn)的軟件公司，在一周內(nèi)盜取了150萬(wàn)個(gè)WiFi密碼，被捕時(shí)涉案黑客已經(jīng)利用這些信息獲利。

揭秘黑客的“三板斧”

在WiFi環(huán)境中，黑客可以無(wú)孔不入。在公共WiFi環(huán)境中，他們可以搭建不設(shè)密碼的釣魚WiFi，也可以假冒正規(guī)的WiFi熱點(diǎn)搭建山寨WiFi，誘使網(wǎng)民進(jìn)入“蜜罐”陷阱;在家庭WiFi環(huán)境中，黑客可以通過(guò)破解密碼等方式，接入網(wǎng)民的無(wú)線網(wǎng)絡(luò)。隨后，他們就會(huì)用以下“三招”，讓網(wǎng)民在毫不知情的情況下蒙受損失。

第一招：數(shù)據(jù)抓包。當(dāng)黑客與網(wǎng)民處于同一個(gè)局域網(wǎng)后，黑客就將變身為“嗅探者”，通過(guò)軟件自動(dòng)“抓取”包含網(wǎng)民在上網(wǎng)時(shí)輸入的各類賬號(hào)、密碼等信息的數(shù)據(jù)包。通過(guò)軟件分析獲取這些信息后，黑客就可以通過(guò)販賣這些隱私信息，或者是直接登錄相關(guān)賬號(hào)轉(zhuǎn)賬、消費(fèi)等獲利。

第二招：DNS劫持。DNS劫持即域名劫持，黑客攔截劫持網(wǎng)絡(luò)范圍內(nèi)的域名解析請(qǐng)求，分析請(qǐng)求的域名并進(jìn)行相關(guān)的操作，簡(jiǎn)單地說(shuō)就是使網(wǎng)民無(wú)法正常訪問(wèn)某些網(wǎng)站，或者將網(wǎng)民引到一些釣魚網(wǎng)站。例如，被DNS劫持后，網(wǎng)民在登錄網(wǎng)上銀行時(shí)，會(huì)被引到一個(gè)仿真度極高的山寨網(wǎng)上銀行，當(dāng)他輸入賬號(hào)和密碼等信息后，黑客就可以馬上獲取這些信息，進(jìn)而盜刷網(wǎng)民的網(wǎng)銀。

第三招：服務(wù)器數(shù)據(jù)劫持。網(wǎng)民“中招”后，黑客可以替換網(wǎng)民的下載文件，例如網(wǎng)民在網(wǎng)盤上下載一個(gè)軟件的安裝程序時(shí)，黑客可將植入了木馬的程序與原始文件對(duì)調(diào)，這樣一來(lái)用戶一旦下載安裝該程序，木馬就會(huì)自動(dòng)進(jìn)入網(wǎng)民的智能終端。

如何才能避免“中招”

雖然WiFi環(huán)境中隱藏著諸多風(fēng)險(xiǎn)，但網(wǎng)民也大可不必因噎廢食。要想避免“中招”，首先需要做的是提高安全防范意識(shí)。工信部電子科學(xué)技術(shù)情報(bào)研究所日前完成的一項(xiàng)調(diào)查顯示，目前我國(guó)網(wǎng)民的信息安全意識(shí)普遍不強(qiáng)，具體表現(xiàn)為：75.93%的網(wǎng)民存在多賬戶使用同一密碼的問(wèn)題;44.42%的網(wǎng)民使用生日、電話號(hào)碼或姓名全拼等設(shè)置密碼;我國(guó)83.48%的網(wǎng)民網(wǎng)上支付行為存在安全隱患，其中38.96%的網(wǎng)民使用無(wú)密碼的WiFi進(jìn)行網(wǎng)上支付等。

安全專家為網(wǎng)民提供了一些建議，幫助大家降低利用WiFi上網(wǎng)的風(fēng)險(xiǎn)。

在公共WiFi環(huán)境中：

要避免使用沒(méi)有密碼的免費(fèi)WiFi。如果黑客利用開啟監(jiān)聽模式的無(wú)線網(wǎng)卡，沒(méi)有密碼的WiFi流量數(shù)據(jù)是可以被黑客直接看到的。

仔細(xì)辨認(rèn)常見(jiàn)的公共WiFi賬號(hào)。尤其要特別警惕同一地區(qū)有多個(gè)相同或相似名字的WiFi。出現(xiàn)這一情況，很有可能是黑客搭建了釣魚WiFi，因此要格外留意。

不要用手機(jī)瀏覽器登錄重要賬號(hào)，盡可能使用手機(jī)APP。因?yàn)橐话愕你y行客戶端和支付寶APP都會(huì)對(duì)數(shù)據(jù)傳輸進(jìn)行加密，相對(duì)更安全一些。

手機(jī)郵箱設(shè)置應(yīng)開啟SSL加密，以避免在釣魚WiFi環(huán)境中泄露賬號(hào)密碼。

在家庭WiFi環(huán)境中：

修改無(wú)線路由器的管理賬戶和密碼。不要使用無(wú)線路由器默認(rèn)的賬號(hào)和密碼，以免黑客篡改路由器參數(shù)。

使用最高等級(jí)的加密方式。在設(shè)置無(wú)線路由器的加密方式時(shí)，不要使用WEP加密方式，這種靜態(tài)加密的方式很容易被破解，要使用WPA/WPA2的加密方式，WiFi的接入密碼應(yīng)盡量設(shè)置得復(fù)雜些，建議16位以上而且要同時(shí)包含字母、數(shù)字與符號(hào)。

不要使用“蹭網(wǎng)”軟件。以免自己的WiFi賬號(hào)和密碼等信息被自動(dòng)共享。

安全專家還建議，廣大網(wǎng)民在不使用WiFi時(shí)要養(yǎng)成關(guān)閉WiFi開關(guān)的好習(xí)慣，以防智能終端自動(dòng)連上“黑WiFi”;同時(shí)可安裝正規(guī)的安全軟件，目前大多數(shù)的安全軟件均有WiFi環(huán)境掃描功能，可以幫助網(wǎng)民更安全地接入WiFi網(wǎng)絡(luò);此外，政府相關(guān)部門、運(yùn)營(yíng)商和安全廠商等各方應(yīng)更多地進(jìn)行合作，通過(guò)大數(shù)據(jù)平臺(tái)找到這些“黑WiFi”，最終將這些不法分子繩之以法。