我国手机网民已超过5亿,无线路由器、随身WiFi等设备迅速普及,与此伴随而来的设备漏洞和黑客攻击事件也不断增加。但我国绝大部分网民并不具备专业防范技巧和应有的安全意识。业内人士提醒,无线WiFi莫乱“蹭”,当心馅饼变陷阱。
免费WiFi蛋糕未必好吃
日前,石家庄的刘女士在咖啡馆搜索到一个不需密码的WiFi信号,用手机加入了该网络,并在网上花了100多元进行购物。然而,等刘女士离开咖啡馆时竟然收到一条银行发来的短信,提示她又被扣掉500元钱。
后经警方查证,原来刘女士不幸碰到了“黑WiFi”,被黑客盗取了银行账密信息,并盗刷了银行卡,个人信息安全受到了危害。
此前,有黑客发帖自爆称:“在星巴克、麦当劳这些提供免费WiFi的公共场合,只要用一台Win7系统电脑、一套无线网络及一个网络包分析软件,15分钟就可以窃取手机上网用户的个人信息和密码,比如信用卡、银行卡的网银密码、账号。”其技术分析示范得到众多网友证实并引发公众担忧。
事实上,随着智能手机和无线网络的盛行,咖啡店、机场、酒店等公众场所均会提供免费的无线上网环境,然而这样的免费蛋糕却并不好吃。
在今年5月底广东汕头举行的一场关于“无线路由的攻击和防御”的讲座上,天融信阿尔法实验室安全研究员宋君易在现场展示了利用黑客工具获取同一WiFi网络上所有用户的浏览记录,整个攻击过程不到五分钟,而在场听众却毫无察觉。
“可以说,黑客的攻击方式并不复杂,有很多傻瓜式的黑客工具即可。”宋君易表示,在公共WiFi上,黑客再自建一个名字相似度高的“钓鱼”WiFi,用户无需输入密码就可“蹭网”,其个人信息和数据就掉在黑客精心设下的免费陷阱中。
从事WiFi设备专业建设和维护服务工作的夏侯宇告诉记者,普通商家自行搭建的WiFi热点大多使用民用级WiFi设备,“其实就是家庭用户的普通无线路由器,而且后台也没有进行专门的安全性设置,有的甚至连密码都没有,这就给黑客留下了乘虚而入的机会。”
破解你没商量 家用WiFi存风险
“你家的WiFi密码是多少?”这是年轻人串门时最为流行的一句话。WiFi已成为当下中国人家居生活不可或缺的组成部分。但需要指出的是,即使用户连接家用无线路由器,也存在不可忽视的安全风险。
记者调查发现,有黑客利用家用无线宽带路由器使用admin/admin作为用户名/口令的弱点,在某些恶意网页中嵌入修改路由器DNS(域名解析服务)配置的代码,用户只要浏览黑客控制的这些网页,其IP地址就会在不知情的情况下被篡改,当用户访问时,就可能造成信息泄露等危害。
据奇虎360安全技术专家安杨介绍,黑客在钻进路由器后会给用户带来死机、电脑断网、泄露隐私等危害,同时黑客还能监控所有通过该无线路由器上网的电脑、智能手机、PAD等设备上网时的流量,从中窃取用户的重要账号密码、植入木马病毒等。
除钓鱼WiFi引发的安全问题外,WiFi本身因缺陷也存在安全问题。据贝尔金公司技术工程师梁汉明分析,与各种高科技产品和服务一样,WiFi设备也具有技术漏洞。2011年,WiFi设备就曾爆出WPS(WiFi保护设置)的协议漏洞,黑客要用密码穷举法能攻破WiFi设备的安全防护。
慎入公共WiFi 提高防范技巧
目前,公共场所的WiFi主要分为两种,一种是由电信运营商提供的WiFi热点,另一种则是商家为招徕客户自行搭建的WiFi。夏侯宇表示,运营商在WiFi组网时都会部署多种安全措施,例如连接上WiFi后要想上网还需要通过身份认证,或要求使用专用客户端软件等。在后台服务器端,运营商往往还会提供24小时监控,因此可信度较高。
“如果要确保个人信息和隐私的绝对安全,最好不要在公共网络环境中打开自己重要的账号,比如网银、股票、基金、支付宝、微博、微信等。”夏侯宇说。
针对家用无线路由器安全问题。网络安全专家建议,首先应将无线网络的加密方式选择为WPA2加密认证,同时设置较为复杂的无线网络连接密码,密码最好使用包括数字、字母、特殊符号混合的复杂密码。
“特别要提醒的是,家庭用户要及时修改路由器默认的管理密码。”梁汉明说,可将路由器的默认管理IP修改为自己指定的特殊IP,并开启路由器的MAC地址过滤功能,只容许自己的设备接入路由器。
国家互联网应急中心相关专家建议,尽量关闭路由器的WPS/QSS功能,以免WiFi被他人“蹭网”后威胁整个家庭网络的安全,并建议使用相应的“家庭网络管理”等软件,及时检测和修复路由器后门漏洞。