央視3·15晚會現場曝光了不安全WiFi網絡的風險——黑客可以通過構造假的WiFi網絡盜取晚會現場觀眾手機系統、品牌型號、自拍照片、郵箱帳號密碼等各類隱私數據。
這些數據被黑客獲取後,可導致私人郵件、商業郵件的泄露,還會導致通過郵箱註冊的微博、網站以及網絡支付帳號密碼泄露,最終導致財產損失。
事實上,由於免費WiFi市場目前缺少統一的服務標準和行為規範,基礎安全能力往往被忽視,而用戶使用免費WiFi的安全隱患日益凸顯。當這些個人信息成為「商品」經過龐大的網絡交易市場推波助瀾,在巨大利益驅使下,不安全WiFi成為新的信息泄露重災區。
虛假WiFi釣魚
公共WiFi究竟有多不安全?
2015年年初,VPN供應商「Hidemyass.com」曾找來英國倫敦一個7歲小女孩,讓她上網搜索如何「黑」公共網絡的教程,然後根據教程「黑」掉一名正在利用公共網絡上網的志願者的筆記本電腦。年僅7歲的小女孩只用了10分54秒,就完成了從搜索教程到攻擊成功的全部過程。
中國WiFi無線基站行業市場深度研究與前景投資規劃分析研究報告顯示數據,全球約10%的人口正在使用WiFi,作為全球最大的市場之一,中國目前公共場所WiFi熱點覆蓋至少超過千萬個,這項服務幾乎已經成為了公共場所服務範圍內的標準配置。
騰訊手機管家《愛蹭WiFi的人必看》報告顯示,在Android聯網用戶中,高達49.75%的人用WiFi聯網,86.03%的用戶最愛用WiFi聊天,67.23%的人認為WiFi聯網的最大問題是速度慢,62.05%的人吐槽WiFi連接麻煩需要密碼,而有49.14%的人擔心WiFi的安全問題。
騰訊手機管家安全專家分析,虛假WiFi釣魚是當前免費WiFi的主要安全風險,3·15晚會現場曝光黑客盜取用戶隱私的主要方法,就是利用了虛假WiFi釣魚的手法。
所謂虛假WiFi釣魚,是指犯罪分子通過架設一個與某公共WiFi熱點同名的WiFi網絡,吸引用戶通過移動設備接入該網絡,然後就可以通過分析軟體竊取這些接入虛假WiFi熱點用戶的資料,包括WiFi登錄密碼。
而這只是不安全WiFi的冰山一角。通過這一手段,黑客還能竊取到用戶的銀行帳戶、網絡支付帳戶密碼,從而實施資金盜刷。除了虛假WiFi釣魚外,「DNS劫持」、「ARP欺騙攻擊」等黑客攻擊手段也會被用於在免費WiFi網絡下對在網用戶進行惡意攻擊,導致網絡癱瘓、竊取網購支付帳號密碼等。
黑色產業鏈
不安全WiFi背後,有怎樣的黑色產業鏈?
可以看到的是,一些不法分子利用網友希望免費上網的心態,在公共場所用一台電腦、一套無線網絡及一個網絡包分析軟體,就可以建一個不設密碼的WiFi,盜取蹭網設備上的資料。
360手機安全中心公布的《2015中國WiFi安全綠皮書》顯示,連接這種「黑網」所進行的操作、傳輸的數據都可被第三方監視,黑客可從數據包里查到用戶登錄信息,從而竊取個人郵箱、社交軟體帳號、照片、簡訊等信息。
「不安全WiFi熱點其實就是在數據傳輸的上游設置了一道閥門,所有接入者的數據都通過這個閥門與相應的網站進行傳輸,黑客通過一些特定的攻擊設備,就可以對這些數據進行記錄和抓取分析。這樣,接入者的帳號、密碼等個人信息就被不法分子一覽無餘。」360安全專家解釋稱。
除了抓取用戶數據包,黑客還可以通過病毒、木馬程序,讓接入者的設備中毒,獲取終端數據,而免費WiFi給黑客植入釣魚網站提供了便利。通過相關技術,黑客可以在接入者瀏覽網站時植入一段HTML代碼,使其自動跳轉到釣魚網站。如果此時登錄銀行、支付寶等進行電子商務交易,接入者就會面臨更嚴重的經濟損失。
而購買個人信息進行精準營銷或精準詐騙成為了這一黑色產業鏈的下游。
目前,非法買賣個人信息已不是新鮮事物,高額利潤使大批不法分子趨之若鶩,甚至悄然形成了一條收集、加工、倒賣個人信息的地下「產業鏈」,結成了一條完整的犯罪網絡和利益鏈條,作案隱蔽、內外勾結,並與詐騙等下游犯罪相互交織,在這條「產業鏈」上,每一個「鏈條」都「拴」著利益。
其中,黑客是信息來源的最頂端,黑客利用不安全WiFi等技術手段,大量套取用戶信息,再將這些信息賣給「下家」;而「下家」利用自己手上的資料,一方面以群發簡訊或郵件等方式推銷這些隱私信息,另一方面還會在網上公開打廣告,有意者只需用搜尋引擎或聊天工具就能找到他們。
據悉,黑客實際掌握用戶資料庫的數量已超過1億條,中國黑客的黑色產業鏈規模或高達上百億元。
五大防範措施
「免費WiFi市場目前缺少統一的服務標準和行為規範,基礎安全能力往往被忽視,而用戶使用免費WiFi的安全隱患則日益凸顯,產業鏈合作並制定相關制度可改變這一現狀。」騰訊無線安全產品部運營總監葛明在此前接受記者採訪時表示。
WiFi萬能鑰匙公司則稱,目前有多項安全舉措保證WiFi網絡安全。例如,從2014年開始,WiFi萬能鑰匙就與金山等國內主流網絡安全廠商合作,推出WiFi熱點的安全監測,防止釣魚WiFi、防DNS篡改、防ARP攻擊等等,並明確向用戶提示WiFi熱點的安全級別。
而目前,在連接公共WiFi風險背後,如何保證移動上網的安全?
獵豹移動安全專家給出的建議是:一要謹慎連接公共WiFi。在公共場所使用WiFi時,找工作人員確認後再連接使用。不需要密碼的免費WiFi,有可能是釣魚陷阱,儘量避免使用。如果個人手機寬帶流量足夠,建議優先使用自己的手機流量套餐。
二是在接入公共WiFi時,儘量不做一些敏感性較大的操作,比如移動支付、登錄網銀、登錄重要的網絡服務(微博、郵箱等)。
第三,在筆記本電腦、平板電腦、智慧型手機上安裝殺毒軟體,可幫助網民攔截可能的釣魚網站和病毒木馬攻擊。如果殺毒軟體報警,建議斷開連接,確保安全。
第四,家用路由器管理後台的登錄帳戶、密碼,不要使用默認的admin,建議使用字母加數字的高強度密碼;設置的WiFi密碼應選擇WPA2加密認證方式,並使用較複雜的密碼。這些措施可以防止家用路由器被入侵破解。
第五,手機端謹慎使用WiFi密碼破解軟體,謹防一些黑客工具竊取手機隱私信息。