钓鱼wifi现身公共场所 盗取网银密码仅需15分钟
随着无线网络和智能手机的日渐盛行,在一些具有免费WiFi的公共场所,不少人都习惯打开手机或笔记本电脑上网,有的甚至用网银进行网上购物,既经济又方便。殊不知这样的免费午餐是一个黑客精心制造的陷阱,一旦连入,15分钟内,黑客即能获取你的网银账号及密码。近日,多名知情人士向南都记者反映称,一些商业性的WiFi可能存在漏洞。如在星巴克、肯德基的提供免费WiFi的公共场所,只要一台电脑、一套无线网络和一个名为Wireshark的网络分析软件,就能轻松搭建出一个不设密码的WiFi网络,用以窃取上网用户的个人信息和密码。
“在公共WiFi环境下通过HTTP协议访问网站,存在被盗取信息的潜在风险。”UC优视技术总裁梁捷称,无论是在户外接入公共网络,还是在家里、办公室使用未加密WiFi网络,都不安全。
15分钟可破解用户名和密码?
一位知情人士向南都记者详细介绍了如何设置钓鱼WiFi、抓取用户信息、窃取用户名和密码的过程。
该知情人士举例称,在星巴克这样有无线W iFi的地方,很多消费者会使用手机上网,黑客们可设置一个不需要密码就可连接的免费无线WiFi热点,“为了让更多的手机用户连接该热点,可以取名为‘Starbucks2’,且不设密码”。
据悉,如果被骗来的手机用户使用UC浏览器上网,那么该用户在登录gmail等站点时,用户名和密码就可以被黑客利用相关软件截取,“熟练之后,全部过程不用15分钟就OK了。”
“普通用户上网使用的网络传输协议主要有两种,一是HTTPS,一是HTTP。HTTPS协议是加密协议,而HTTP协议则是明文的,在公共WiFi环境下通过HTTP协议访问网站,存在被盗取信息的潜在风险。”UC优视技术总裁梁捷称,随着无线网络的成熟,使用WiFi的人越来越多,咖啡厅、餐馆、机场等各种公开场所都有免费的WiFi提供。而无论是在户外接入公共WiFi网络,还是在家里、办公室使用未加密WiFi网络,都不安全。
提防网银被“钓鱼”
在机场、星巴克等有免费WiFi的场合中,用户习惯都会优先选择连接WiFi,某些不法分子会钻空子,利用用户不想找麻烦的心理,自建WiFi热点,名称与正确WiFi名称很相似,如Starbucks2、KFC1等,且不设密码,用户可以轻松接入。黑客通过自建的网络渠道,记录下人们在网上进行的所有操作信息,用户完全没有隐私可言。
用户如何确定搜索到的WiFi接入点是运营商提供而不是黑客伪造的?
广东电信相关负责人解释称,由运营商提供的免费WiFi和其他商家提供的免费WiFi在使用过程和技术保障上都存在很大的区别———电信提供的免费WiFi均需要账号密码做身份认证,使用时会有专门的Portal认证页面或者专用的客户端软件。而部分商家和黑客提供的免费WiFi基本都没有认证的措施,用户无需确认身份即可使用。
“尽量不要在公共场所的无线网络下进行网银支付、手机炒股等操作。如果一定要使用,那就选择运营商的网络。”该负责人还提醒,部分手机的网络设置中,有WiFi自动连接的功能,只要有免费的WiFi就能自动连接,用户最好把W iFi连接设置为手动,只有自己想用的时候才打开。(《南方都市报》)
15分钟就可窃取账户密码?
“无论是坐公交车,还是在餐厅,只要闲下来就想掏出手机上一下网,看视频、浏览网页……如果哪天忘带手机,总觉得特不踏实。”25岁的小于站在公交站牌前,边摁手机边向记者介绍,他身边许多朋友和同事都有着和他一样的毛病,手机冲浪已成为日常生活中必不可少的一项“工作”。
但是,小于也表示,由于手机上网时间太频繁,一旦看视频次数没把握好,刷爆流量包的现象经常出现。“所以,通常在有免费WiFi的公共场合,都会使用WiFi蹭网,以节省自己手机的流量。”小于笑着说。
免费WiFi,即一种可以将个人电脑、手持设备如PDA、手机等终端以无线方式互相连接的技术。记者走访发现,在星巴克、麦当劳等通常有无线网络的公共场所,借机“蹭网”的消费者并不少见,有人甚至只点一杯咖啡,就能在咖啡厅里玩一下午电脑或手机。不过,随着人们对免费WiFi的使用率提高,黑客也打上了WiFi的主意。
近日,一个自称“业余黑客”的人发帖表示,在麦当劳等通常有无线热点的公共场所,只要一台Win7系统电脑、一套无线网络及一个网络包分析软件,设置一个无线热点AP,就能轻松搭建出一个WiFi,不设密码。用户很难察觉黑客搭建的伪造WiFi的真假,一旦连入,黑客15分钟就可以窃取手机上网用户的个人信息和密码,包括网银密码、炒股账号密码等。
用WiFi盗取客户信息真如上述所说的这么简单吗?通信行业专业技术人员张培(化名)给予记者肯定答复。张培解释道,一旦用户进入黑客搭建的“李鬼”WiFi网络,在手机里所访问过的http网站网址信息就会一览无余地显示在黑客的电脑上。如果用户登录了网银、邮箱等,黑客就可以用事先准备好的网络数据包分析软件,抓去顾客手机发来的数据包进行分析,从而得到用户网银账号、密码信息等。
大家还是警惕点的好
页:
[1]