免费无线上网小心被“钓”

在免费提供WiFi（无线网络）的公共场所，不少顾客会用笔记本和手机上网，但是黑客也盯上了免费WiFi庞大的用户群体。黑客是否如网上传言能够通过简单的设备架设虚假的免费WiFi热点，进而盗取私人信息数据？
    北京邮电大学计算机学院网络与信息安全实验室主任崔宝江副教授介绍道，黑客确实可以通过网卡功能配置或者安装第三方软件，将电脑配置成一个用于钓鱼的无线AP，通过设置具有迷惑性的无线AP标志，诱使用户在提供免费WiFi的公共场合上网时，错登录到钓鱼无线AP中，进而捕获用户上网的所有网络数据。如果上网的数据包中包含明文的个人信息，例如登录的账号和口令等，那么这些明文信息便可被黑客获取。“钓鱼的无线接入AP，它的名称可能和免费WiFi站点的名称很相似，容易迷惑人，例如Starbucks2、KFC1等。”
    前奇虎360杀毒中心工作人员、资深反病毒工作者李云告诉笔者，局域网欺骗或者伪造热点，可以将自己的代码嵌入数据包中，再返回给请求者，导致用户访问恶意网页或者执行恶意代码。“比较常见的攻击是在网站传输客户数据时，攻击者会尝试监听或嗅探传输中的数据。比如获取用户的某些卡号之后，对用户访问的其他站点的数据包进行嗅探，窃取生日、其他敏感卡号及字母组合。”
    公共场所存在钓鱼性质的虚假免费WiFi热点新闻曝光后，有些市民开始担忧，在公共场所通过WiFi上网还有安全保障吗？
    奇虎360公司软件工程师孙诚指出，这条流言有部分是夸大的。黑客确实可以建立一个免费未加密的WiFi网络让用户接入，之后使用嗅探工具截获到网络中所有传输的数据。但这里是利用了浏览器的漏洞，如果这个漏洞不存在，数据传输过程中也使用了SSL进行加密，窃取用户网银账号和密码也是非常困难的。
    针对网上银行交易等行为，崔宝江指出，如果用户上网的网站不支持加密的上网数据传输功能，则明文的个人信息就可能泄密。
    “但是网银和某些大型正规网站需要输入账号密码的登录过程都是加密的，并不容易被破解。”他表示，用数码设备和手机登录正确的个人网上银行网址进行交易，安全是有保障的。个人网上银行会采用SSL等加密协议来保障交易安全，网址中的协议名称显示为https，结尾比常见的http多了s。这说明通过这个页面输入并传送的数据，会被基于SSL协议协商的会话密钥进行加密，即使这些加密数据被黑客盗取，也很难破解。“所以，黑客难以通过钓鱼AP的方法获取用户的银行账号密码。除非黑客在用户的计算机中植入了木马。”
    目前，北京市不少公众场所的免费WiFi账号密码都已在网上公布，而在免费供应地内搜索到账号需要索取密码时，也可直接向工作人员索要。，但也不乏市民习惯性搜索到无需密码的免费WiFi后，直接联网进行网上活动。
    “用户连接加密的WiFi网络，会需要输入密码，如果用户没有输入密码就可以连接到一个WiFi网络并且可以访问互联网，这时就要注意了，可能连接的WiFi网络会有问题。”孙诚指出，想破解使用SSL协议加密传输的数据其实比较困难，因此一般黑客会采用证书欺骗的方法，但假的证书在浏览器上都会给出安全提示，用户只要不去访问就可以了。
    他认为，“李鬼”WiFi的危害程度需要从用户的安全使用习惯和网络应用的安全性两方面去考虑。用户在使用公共网络时要尽量开启ARP防火墙，并且要连接加密的WiFi网络。而应用程序和网站更要提供对一些涉及到用户隐私的数据进行加密传输，在产品设计上一定要将安全摆在第一位。
    崔宝江建议，为了预防因登录假WiFi站点或者钓鱼的WiFi站点造成用户隐私泄露，在公共场所上网的用户，需主动了解商家或运营商WiFi无线接入点AP的正确站点名称和登录密码，并且选择合法和正规网站进行互联网信息获取。《中国质量报》