近年来,越来越多因为蹭免费网络而泄露银行账户密码或者支付宝密码的案件发生,警察蜀黍提醒广大市民注意三点:
1.谨慎连接公共WiFi:在机场、星巴克、麦当劳和星级酒店等有免费WiFi的公共场合,不法分子会伪造免费wifi,进行钓鱼犯罪,对此,市民要明察秋毫,问清楚工作人员哪个才是官方wifi才进行连接。
2.不要使用手机浏览器登陆手机银行和支付宝:黑客则会引导用户至山寨钓鱼网站,或者设置钓鱼网站,从而获取账号及密码。因此,市民最好通过银行官网网页,或者手机银行客户端登录,这两种渠道均经过了层层加密,黑客想要破解账户信息并不容易。
3.手机平板电脑上网最好都设置防火墙。
但是,尽管市民都做到以上三点,还是有可能防不胜防,黑客有办法在不知不觉中让你的iPhone、iPad自动连上他的钓鱼WiFi。砖家解释,这是极有可能的:
“只要黑客搭建一个你之前就连接过的WiFi,ssid与加密方式与之前一样,这样你的设备搜到该WiFi之后就会自动连接。
举个例子,相信大部分人设备都连接过那个没有加密的CMCC,我在你周围搭建一个CMCC无加密的热点,你的设备就会自动连接过来,这样我们就是同一个局域网了,然后就可以获取你的各种隐私了。”
而实际上,情况比上文砖家所想象的还要糟糕,还要砖家补充到:
“无线设备为了加快连接速度,会对外广播过它连接过什么无线,ssid是多少。如果我截获到了这个广播,我自然能知道你连过什么无线,把这个无线伪造出来,对症下药,请君入瓮。这个过程你完全是不可控的,特别是手机、平板这种设备。
如果某天你发现自己的电脑上竟然出现了连接过的所有无线,那么你肯定是被这种蜜罐攻击了。
不幸的是,这种情况下手机平板(iphone,ipad)会自动连上去,自动就是放在口袋里面不解锁它也自动连上去了,万幸的是,电脑(至少OS X)不会自动连。”
而黑客只需要一个玩意就能做到以上所说的,那就是 wifi pineapple。
在一次SXSW(South by Southwest)会议上,Hak5创始人——黑客达伦·凯奇(Darren Kitchen),发表了有关网络安全的演讲。他在演讲中进行的演示表明,利用专用路由器和一款名为WiFi Pineapple的定制软件可以轻松地窃听不安全的WiFi连接。在演示中,所有在上网的听众都受到了攻击。所以在公共场合中,市民自认为连接到了星级酒店或星巴克的WiFi热点,但实际上他们都受到了WiFi Pineapple的欺骗。
黑客简直防不胜防,因此,我们除了要注意一开始所提到的3点,我们还有注意以下2点:
1.删掉所有无加密的ssid,也就是电脑手机平板在公共场所自动连接一些免费WiFi的时候要忽略这些网络。在咨询工作人员后,重新连接正确的WiFi。
2.在不用wifi的情况下关闭wifi连接。避免自动连接黑客建立的钓鱼WiFi。
如果觉得麻烦,或者忘记这么做的话,被黑的可能性会很高。砖家说:
“连接钓鱼WiFi后,要黑你就比较容易了。
ARP一下,嗅探你的网络流量,里面有你的各类隐私,可能就已经可以把你在互联网上的账号黑个遍,这种黑个遍是很多黑客都经历过的。
也许直接入侵到你电脑不行,但是通过篡改HTTP响应内容,替换下载文件等间接进入你的电脑。
来个猥琐小例子,假如你有百度网盘这类的服务时,知道你百度网盘的账号后,把里面的软件替换为有后门的,然后坐等你以后安装都中招……
还有你说路由密码是默认的,好,在有些路由里可以直接抓各类流量,然后专业的包分析工具一分析就都出来了。或者麻烦点,DNS记录修改下,然后照样抓包。”
也就是说,当时连接了钓鱼WiFi可能没事,但是黑客会潜伏在你电脑里,等待下手的时机。
总结5点:
1..谨慎连接公共WiFi
2.不要使用手机浏览器登陆手机银行和支付宝
3.手机平板电脑上网最好都设置防火墙。
4.删掉所有无加密的ssid。
5.在不用wifi的情况下关闭wifi连接。