近日,某黑客在網上自曝:在星巴克、麥當勞等提供免費WiFi的公共場合,用一台Win7系統電腦、一個網絡包分析軟體等,15分鐘就可以竊取手機上網用戶的個人信息和密碼。
個人可自行架設WiFi熱點
在免費提供WiFi的公共場所,不少顧客會用筆記本和手機上網。但是黑客也盯上了免費WiFi龐大的用戶群體。黑客是否如網上傳言能夠通過簡單的設備架設虛假的免費WiFi熱點,進而盜取私人信息數據?
對此,北京郵電大學計算機學院網絡與信息安全實驗室主任崔寶江副教授介紹道,黑客確實可以通過網卡功能配置或者安裝第三方軟體,將電腦配置成一個用於釣魚的無線AP,通過設置具有迷惑性的無線AP標識,誘使用戶在提供免費WiFi的公共場合上網時,錯登錄到釣魚無線AP中,進而捕獲用戶上網的所有網絡數據。通過數據包嗅探分析軟體,則可對捕獲的網絡數據包解析出其上網的內容信息。如果上網的數據包中包含明文的個人信息,例如登錄的賬號和口令等,那麼這些明文信息便可被黑客獲取。“釣魚的無線接入AP,它的名稱可能和免費WiFi站點的名稱很相似,容易迷惑人,例如Starbucks2、KFC1等。”
“個人自行架設WiFi熱點,現在的筆記本基本都可以實現,通過自己的無線網卡或者無線路由器均可以架設。”前奇虎360殺毒中心工作人員、資深反病毒工作者李雲告訴筆者,局域網欺騙或者偽造熱點都可以將自己的代碼嵌入數據包中,再返回給請求者,導致用戶訪問惡意網頁或者執行惡意代碼。“比較常見的攻擊是在網站傳輸客戶數據時,攻擊者會嘗試監聽或嗅探傳輸中的數據。比如獲取用戶的某些卡號之後,對用戶訪問的其它站點的數據包進行嗅探,竊取生日、其他敏感卡號及字母組合。”
竊取用戶信息並不容易
公共場所存在釣魚性質的虛假免費WiFi熱點新聞曝光後,有些市民不禁開始擔憂,在公共場所通過WiFi上網還有安全保障嗎?如若進行日常網上銀行交易會不會存在泄密風險,甚至造成經濟損失?
雖然黑客可通過設置虛假免費WiFi熱點“引君入甕”,但奇虎360公司軟體工程師孫誠同時也指出,“這條流言有部分是誇大的。這個黑客確實建立了一個免費未加密的WiFi網絡讓用戶接入,之後使用嗅探工具將無線網卡設置為混雜模式,從而截獲到網絡中所有傳輸的數據。但這裡是利用了某手機瀏覽器的漏洞,如果這個漏洞不存在,數據傳輸過程中也使用了SSL進行加密,竊取用戶網銀賬號和密碼也是非常困難的。”
針對網上銀行交易等行為,崔寶江指出,如果用戶上網的網站不支持加密的上網數據傳輸功能,則明文的個人信息就可能泄密。黑客如果將用戶導向到自己建立的釣魚網站,並誘使用戶輸入賬號和密碼登錄釣魚網站,那麼用戶的網銀安全就沒有保證了。
“但是網銀和某些大型正規網站需要輸入賬號密碼的登錄過程都是加密的,並不容易被破解。” 他表示,用數碼設備和手機登錄正確的個人網上銀行網址進行交易,安全是有保障的。個人網上銀行會採用SSL等加密協議來保障交易安全,網址中的協議名稱顯示為https,結尾比常見的http多了s。這説明通過這個頁面輸入並傳送的數據,會被基於SSL協議協商的會話密鑰進行加密,即使這些加密數據被黑客盜取,也很難破解。“所以,黑客難以通過釣魚AP的方法獲取用戶的銀行賬號密碼。除非黑客在用戶的計算機中植入了木馬,黑客才可通過木馬偷取用戶的銀行賬號密碼。”
李雲也認為,關於黑客15分鐘便能通過架設免費WiFi熱點竊取信息的報道只是個例。“要在短時間內竊取數據存在著相當的難度。”據李雲介紹,大部分無線嗅探及解密行為,是使用類似入侵檢測操作系統及網絡封包分析軟體進行數據包截取,經解密後進行用戶名及密碼的獲取。而這種行為一般需要被動監聽時間較多,其破解速度由必須的數據包和密碼字典大小決定,為了解密則必須抓取大量數據包,這通常需要很長時間。“可能在沒有獲取到有價值信息之前,用戶已經離開了這個監聽範圍。”
防“李鬼”需提高安全意識
目前,北京市不少公眾場所的免費WiFi賬號密碼都已在網上公佈,而在免費供應地內搜索到賬號需要索取密碼時,也可直接向工作人員索要。雖然如此,卻也不乏市民習慣性搜索到無需密碼的免費WiFi後,直接聯網進行網上活動的現象。
“用戶連接加密的WiFi網絡,會需要輸入密碼,如果用戶沒有輸入密碼就可以連接到一個WiFi網絡並且可以訪問互聯網,這時就要注意了,可能連接的WiFi網絡會有問題。”孫誠指出,想破解使用SSL協議加密傳輸的數據其實比較困難,因此一般黑客會採用證書欺騙的方法,但假的證書在瀏覽器上都會給出安全提示,用戶只要不去訪問就可以了。
他認為,“李鬼”WiFi的危害程度需要從用戶的安全使用習慣和網絡應用的安全性兩方面去考慮。用戶在使用公共網絡時要儘量開啟ARP防火墻,並且要連接加密的WiFi網絡。而應用程序和網站更要提供對一些涉及到用戶隱私的數據進行加密傳輸,在産品設計上一定要將安全擺在第一位。
崔寶江建議,為了預防因登錄假WiFi站點或者釣魚的WiFi站點造成用戶隱私洩露,在公共場所上網的用戶,需主動了解商家或運營商WiFi無線接入點AP的正確站點名稱和登錄密碼,並且選擇合法和正規網站進行互聯網信息獲取。(實習生 楊艷)