黑客自曝钓鱼全程:在星巴克WiFi上网当心遭暗算

fmms 12年前
     <div id="news_body">     <p> 在星巴克、麦当劳等公共场所边点杯热饮边“蹭网”,是不少消费者用手机网上冲浪的便利选择。不过,这些免费的 Wifi 中,可能隐藏着“黑网”。近日,有黑客在网上自曝“钓鱼”全程,只要一台笔记本、一套无线网络和相关软件,就能搭起一个欺骗性 Wifi,并从中窃取上钩者的用户名和密码。安全技术人员承认该方法的确行得通,提醒消费者选择 Wifi 时最好先和店员确认,以免被骗。</p>     <p> <strong>冒充星巴克 Wifi“请君入瓮”</strong></p>     <p> 随着近日各大网站的泄密门事件频出,手机上网的安全也引发各方重视。近日在天涯论坛,一名自称业余黑客者表示自己通过试验,发现手机移动浏览器的破绽可轻易攻破,别人的用户名密码也能手到擒来,令大批网民哗然。 “毕竟每个月上微博、查邮件、查淘宝、京东账单等等全部在手机上搞定,不验证一下不踏实。”发帖者称。</p>     <p> 帖子称,在星巴克、麦当劳等通常有无线热点的公共场所,只要一台 Win7 系统电脑、一套无线网络及一个网络包分析软件,设置一个无线热点 AP,就能轻松搭建出一个“李鬼”Wifi 网络。为了让更多的手机用户被欺骗连接到该热点,Wifi 被直接命名为 Starbucks 2,且不设密码,可以轻松接入。</p>     <p> “星巴克的客户一般会拿出手机上网,这时会同时搜索到星巴克官方 Wifi 和假的 Starbucks 2 热点,因为后者不需要密码,很多用户会首先连接该热点。”该黑客说,这样很容易吸引 “小鱼进网”,进而偷窥其隐私。</p>     <p> <strong>误上“李鬼”网络或损失惨重</strong></p>     <p> 昨天下午,记者分别走访了南京路步行街附近的两家星巴克和 Wagas 咖啡,店内工作人员表示,其官方 Wifi 的确需要从店员或是通过中国移动的 WLAN 获取密码才能登陆。 “不过,如果客人在店内自行搭建其他 Wifi 网络,我们也无权干涉,毕竟很多笔记本电脑都能直接共享网络。”星巴克店员无奈地表示。</p>     <p> 一旦消费者入网,只要通过用户名和密码访问网站,黑客便有可能窃取其隐私信息。该黑客以 UC 浏览器为例,手机用户如果使用了默认 UCWeb 设置,即打开云端加速,那么 https 网站的信息便能轻易被窃取到。有网友回复,如果网银、支付宝的密码都能这样被窃取,那账户内资金无疑就成了板上鱼肉任人宰割。</p>     <p> 究竟事实是否真如传言般这么可怕?国内某知名安全机构的一位工程师表示,上述陷阱的确有可能奏效。 “一般用电脑登陆网银、支付宝时,会自动跳转到 https 的加密网址进行操作。但 UC 浏览器为了提高访问速度,存在直接将请求协议截留、转至其自身数据库进行中转处理的情况,导致原先加密的密码变成明文发送,帮黑客省去了破解工序。 ”该工程师表示。</p>     <p> <strong>UC 浏览器称遭人抹黑</strong></p>     <p> 对于上述情况,UC 方面昨天向媒体发来声明,否认有相关漏洞,称公司迅速按照文章内容进行验证,文章所指情况完全无法复现,因此他们认为这是竞争对手刻意抹黑。不过 UC 也坦言,如果用户在公共场所连接任何不安全的钓鱼 Wifi,无论手机还是计算机的任何应用都可能是不安全的,建议用户特别留心。</p>     <p> 不过,业界知名的乌云漏洞平台昨天通过微博表示,虽然 “你还敢用 UC 上网吗”的帖子有点夸大,但 UC 设计的确存在缺陷,会将本来网络加密的信息明文提交到自己服务器。当前无线安全值得关注,特别是这种钓鱼 Wifi 存在极大风险。</p>     <p> 受访工程师支招称,如果用户在咖啡厅里迫切需要上网,可以通过网银、支付宝等的手机 APP 客户端进行访问,这样比用浏览器访问的安全性大得多。</p>    </div>