近日，某黑客在網(wǎng)上自曝：在星巴克、麥當勞等提供免費WiFi的公共場合，用一臺Win7系統(tǒng)電腦、一個網(wǎng)絡包分析軟件等，15分鐘就可以竊取手機上網(wǎng)用戶的個人信息和密碼。

　　個人可自行架設WiFi熱點

　　在免費提供WiFi的公共場所，不少顧客會用筆記本和手機上網(wǎng)。但是黑客也盯上了免費WiFi龐大的用戶群體。黑客是否如網(wǎng)上傳言能夠通過簡單的設備架設虛假的免費WiFi熱點，進而盜取私人信息數(shù)據(jù)？

　　對此，北京郵電大學計算機學院網(wǎng)絡與信息安全實驗室主任崔寶江副教授介紹道，黑客確實可以通過網(wǎng)卡功能配置或者安裝第三方軟件，將電腦配置成一個用于釣魚的無線AP，通過設置具有迷惑性的無線AP標識，誘使用戶在提供免費WiFi的公共場合上網(wǎng)時，錯登錄到釣魚無線AP中，進而捕獲用戶上網(wǎng)的所有網(wǎng)絡數(shù)據(jù)。通過數(shù)據(jù)包嗅探分析軟件，則可對捕獲的網(wǎng)絡數(shù)據(jù)包解析出其上網(wǎng)的內容信息。如果上網(wǎng)的數(shù)據(jù)包中包含明文的個人信息，例如登錄的賬號和口令等，那么這些明文信息便可被黑客獲取。“釣魚的無線接入AP，它的名稱可能和免費WiFi站點的名稱很相似，容易迷惑人，例如Starbucks2、KFC1等。”

　　“個人自行架設WiFi熱點，現(xiàn)在的筆記本基本都可以實現(xiàn)，通過自己的無線網(wǎng)卡或者無線路由器均可以架設。”前奇虎360殺毒中心工作人員、資深反病毒工作者李云告訴筆者，局域網(wǎng)欺騙或者偽造熱點都可以將自己的代碼嵌入數(shù)據(jù)包中，再返回給請求者，導致用戶訪問惡意網(wǎng)頁或者執(zhí)行惡意代碼。“比較常見的攻擊是在網(wǎng)站傳輸客戶數(shù)據(jù)時，攻擊者會嘗試監(jiān)聽或嗅探傳輸中的數(shù)據(jù)。比如獲取用戶的某些卡號之后，對用戶訪問的其它站點的數(shù)據(jù)包進行嗅探，竊取生日、其他敏感卡號及字母組合。”

　　竊取用戶信息并不容易

　　公共場所存在釣魚性質的虛假免費WiFi熱點新聞曝光后，有些市民不禁開始擔憂，在公共場所通過WiFi上網(wǎng)還有安全保障嗎？如若進行日常網(wǎng)上銀行交易會不會存在泄密風險，甚至造成經(jīng)濟損失？

　　雖然黑客可通過設置虛假免費WiFi熱點“引君入甕”，但奇虎360公司軟件工程師孫誠同時也指出，“這條流言有部分是夸大的。這個黑客確實建立了一個免費未加密的WiFi網(wǎng)絡讓用戶接入，之后使用嗅探工具將無線網(wǎng)卡設置為混雜模式，從而截獲到網(wǎng)絡中所有傳輸?shù)臄?shù)據(jù)。但這里是利用了某手機瀏覽器的漏洞，如果這個漏洞不存在，數(shù)據(jù)傳輸過程中也使用了SSL進行加密，竊取用戶網(wǎng)銀賬號和密碼也是非常困難的。”

　　針對網(wǎng)上銀行交易等行為，崔寶江指出，如果用戶上網(wǎng)的網(wǎng)站不支持加密的上網(wǎng)數(shù)據(jù)傳輸功能，則明文的個人信息就可能泄密。黑客如果將用戶導向到自己建立的釣魚網(wǎng)站，并誘使用戶輸入賬號和密碼登錄釣魚網(wǎng)站，那么用戶的網(wǎng)銀安全就沒有保證了。

　　“但是網(wǎng)銀和某些大型正規(guī)網(wǎng)站需要輸入賬號密碼的登錄過程都是加密的，并不容易被破解。” 他表示，用數(shù)碼設備和手機登錄正確的個人網(wǎng)上銀行網(wǎng)址進行交易，安全是有保障的。個人網(wǎng)上銀行會采用SSL等加密協(xié)議來保障交易安全，網(wǎng)址中的協(xié)議名稱顯示為https，結尾比常見的http多了s。這說明通過這個頁面輸入并傳送的數(shù)據(jù)，會被基于SSL協(xié)議協(xié)商的會話密鑰進行加密，即使這些加密數(shù)據(jù)被黑客盜取，也很難破解。“所以，黑客難以通過釣魚AP的方法獲取用戶的銀行賬號密碼。除非黑客在用戶的計算機中植入了木馬，黑客才可通過木馬偷取用戶的銀行賬號密碼。”

　　李云也認為，關于黑客15分鐘便能通過架設免費WiFi熱點竊取信息的報道只是個例。“要在短時間內竊取數(shù)據(jù)存在著相當?shù)碾y度。”據(jù)李云介紹，大部分無線嗅探及解密行為，是使用類似入侵檢測操作系統(tǒng)及網(wǎng)絡封包分析軟件進行數(shù)據(jù)包截取，經(jīng)解密后進行用戶名及密碼的獲取。而這種行為一般需要被動監(jiān)聽時間較多，其破解速度由必須的數(shù)據(jù)包和密碼字典大小決定，為了解密則必須抓取大量數(shù)據(jù)包，這通常需要很長時間。“可能在沒有獲取到有價值信息之前，用戶已經(jīng)離開了這個監(jiān)聽范圍。”

　　防“李鬼”需提高安全意識

　　目前，北京市不少公眾場所的免費WiFi賬號密碼都已在網(wǎng)上公布，而在免費供應地內搜索到賬號需要索取密碼時，也可直接向工作人員索要。雖然如此，卻也不乏市民習慣性搜索到無需密碼的免費WiFi后，直接聯(lián)網(wǎng)進行網(wǎng)上活動的現(xiàn)象。

　　“用戶連接加密的WiFi網(wǎng)絡，會需要輸入密碼，如果用戶沒有輸入密碼就可以連接到一個WiFi網(wǎng)絡并且可以訪問互聯(lián)網(wǎng)，這時就要注意了，可能連接的WiFi網(wǎng)絡會有問題。”孫誠指出，想破解使用SSL協(xié)議加密傳輸?shù)臄?shù)據(jù)其實比較困難，因此一般黑客會采用證書欺騙的方法，但假的證書在瀏覽器上都會給出安全提示，用戶只要不去訪問就可以了。

　　他認為，“李鬼”WiFi的危害程度需要從用戶的安全使用習慣和網(wǎng)絡應用的安全性兩方面去考慮。用戶在使用公共網(wǎng)絡時要盡量開啟ARP防火墻，并且要連接加密的WiFi網(wǎng)絡。而應用程序和網(wǎng)站更要提供對一些涉及到用戶隱私的數(shù)據(jù)進行加密傳輸，在產(chǎn)品設計上一定要將安全擺在第一位。

　　崔寶江建議，為了預防因登錄假WiFi站點或者釣魚的WiFi站點造成用戶隱私泄露，在公共場所上網(wǎng)的用戶，需主動了解商家或運營商WiFi無線接入點AP的正確站點名稱和登錄密碼，并且選擇合法和正規(guī)網(wǎng)站進行互聯(lián)網(wǎng)信息獲取。（實習生 楊艷）