公共場所慎用免費WiFi 黑客15分鐘可竊取用戶信息

　　在咖啡廳，當你發(fā)現(xiàn)兩個Wi-Fi熱點：一個收費登錄；一個免費登錄，你選擇哪個？如果不假思索地選擇“免費”這個，那你很可能馬上“中招”，被黑客獲得個人信息和密碼——因為它很可能正是黑客設置的釣魚網站！
　　近日，有黑客自曝在星巴克、麥當勞這些提供免費WiFi的公共場合，只需要用一臺Windows 7系統(tǒng)電腦、一套無線網絡以及一個網絡包分析軟件，15分鐘就可以竊取手機上網用戶的個人信息和密碼。業(yè)內專家表示，天下沒有免費的午餐，完全免費開放的WiFi很多都可能有陷阱，用戶在進入店家后必須向店家咨詢，登錄店家設置的官方WiFi。此外，有業(yè)內人士表示，關于信息安全的立法應該盡快提上日程。
　　黑客自爆釣魚WiFi
　　獲取用戶的個人私隱乃至密碼有多簡單？答案是非常簡單！“初級黑客兩個小時就能掌握竊取用戶個人信息和密碼，熟練后僅需15分鐘。”近日，有黑客發(fā)帖稱，在星巴克、麥當勞等通常有無線熱點的公共場所，只要一臺Windows 7系統(tǒng)電腦、一套無線網絡及一個網絡包分析軟件，設置一個釣魚性質的無線Wi-Fi熱點AP，就能輕松搭建出一個“釣魚”Wi-Fi。這個釣魚Wi-Fi不設密碼。由于普通用戶很難察覺黑客搭建的偽造WiFi的真假，一旦連入，黑客只需15分鐘就可以竊取手機上網用戶的個人信息和密碼，包括網銀密碼、炒股賬號密碼等。
　　根據(jù)該黑客透露的設置釣魚Wi-Fi的詳細“教程”，在星巴克、麥當勞等有無線Wi-Fi的地方，通過Win7電腦、無線網絡和Wireshark軟件，即可設置出釣魚的WiFi。這個釣魚WiFi需要起一個具備欺騙性的名字，比如“Starbucks 2”。
　　由于正規(guī)的星巴克和麥當勞都需要輸入繁瑣的密碼認證才能使用。而這個釣魚Wi-Fi熱點不會設置密碼。當用戶進入星巴克后，會同時搜索到星巴克的官方WiFi和帶有欺騙性質的“Starbucks 2”熱點。由于“Starbucks 2”不需要密碼， 用戶自然會首先連接該熱點。這樣一來，當某用戶訪問live或者gmail等https網站時， 提交的用戶名和密碼會被Wireshark軟件截取到。
　　手機電腦都易中招
　　該黑客網友還表示，如果使用UC手機瀏覽器會特別容易“出事”，原因是使用UC瀏覽器登錄用戶名和密碼均使用明文密碼。所謂“明文密碼”，就是指網站保存密碼或網絡傳送密碼的時候，用的是可以看得懂的明文字符，而不是經過加密后的密文。
　　針對這個網帖指控，UC優(yōu)視公司隨即發(fā)表聲明稱：“這是競爭對手的刻意抹黑”。UC公司表示，該公司已迅速按照文章內容進行驗證，但網貼所指情況完全無法復現(xiàn)。此后，UC優(yōu)視進行了一次全平臺的安全驗證和檢查，發(fā)現(xiàn)在iPhone版本的UC瀏覽器存在一個極端情況下的漏洞，隨后UC優(yōu)視立即上線了新的iPhone版本。
　　不過UC公司也表示，如果用戶在公共場所連接任何不安全的釣魚Wi-Fi，無論用手機，還是用計算機，信息都可能被黑客捕獲，因此要注意識別釣魚Wi-Fi。
　　專家觀點
　　WiFi登錄方式應簡化
　　有法律專家在接受記者采訪時表示，WiFi熱點已經成為潮人上網的重要方式，但目前國內信息安全立法滯后，導致類似的釣魚Wi-Fi難以監(jiān)管。他建議，國內立法機關有必要盡快出臺信息安全法律對類似行為進行監(jiān)管。
　　也有業(yè)內人士表示，許多用戶之所以容易被釣魚Wi-Fi設套，大部分是為了貪便宜和方便等原因，樂意在公共場所搜索免費Wi-Fi使用，從未想過類似釣魚Wi-Fi的存在。對此，運營商也要負一部分責任。該人士表示，其實目前三大運營商均在積極鋪設WiFi熱點，但運營商Wi-Fi登錄無一例外需要短信認證等方式，非常繁瑣。而一些連鎖咖啡廳和餐廳在與運營商合作推廣WiFi后，不但沒有簡化登錄手續(xù)，反而讓登錄變得更加困難。如此無疑加大了釣魚Wi-Fi設陷阱成功的可能性。因此，三大運營商需要考慮提供更簡便的Wi-Fi登錄方式，以方便Wi-Fi一族。
　　專家支招
　　三招防止釣魚Wi-Fi
　　1.謹慎辨認官方熱點
　　用戶如何避免不被WiFi“釣魚”？據(jù)業(yè)內專家表示，最重要的預防途徑是要看清Wi-Fi熱點的名稱。有業(yè)內信息安全業(yè)內專家表示，為了成功將用戶“釣入網”，黑客一般會起一個跟店鋪官方Wi-Fi非常相近、非常容易迷惑人的Wi-Fi名字。比如，如果在星巴克和KFC，則可能起一個Starbucks 2、KFC等。因此用戶在上網時，一定要問清現(xiàn)場柜臺人員哪個才是官方Wi-Fi，不能輕易選擇。
　　2.選擇運營商熱點
　　此外，應該盡可能選擇運營商Wi-Fi熱點。相對而言，在公共場合，目前國內運營商提供的免費Wi-Fi熱點安全性相對較高。以廣州為例，目前三大運營商均為自身客戶提供了免費的Wi-Fi熱點，用戶可以通過電話或短信，獲取免費的WiFi賬號、密碼。如果用戶是要使用網上金融工具的時候，則應該使用安全程度更高的3G網絡。
　　3.不打開Wi-Fi自動鏈接
　　在有些手機的網絡設置中，有Wi-Fi自動連接的功能，只要有免費的Wi-Fi就自動連接。但往往這些用戶很容易就在“不知情”的情況下落入別人的圈套。因此，用戶最好把Wi-Fi連接設置為手動，只有自己想用的時候才打開。

信息時報