黑客自曝釣魚全程:在星巴克WiFi上網(wǎng)當(dāng)心遭暗算

時(shí)間：2012-02-22 17:58:00

關(guān)鍵字：黑客 Wi-Fi 瀏覽器

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]在星巴克、麥當(dāng)勞等公共場(chǎng)所邊點(diǎn)杯熱飲邊“蹭網(wǎng)”，是不少消費(fèi)者用手機(jī)網(wǎng)上沖浪的便利選擇。不過(guò)，這些免費(fèi)的Wifi中，可能隱藏著“黑網(wǎng)”。近日，有黑客在網(wǎng)上自曝“釣魚”全程，只要

在星巴克、麥當(dāng)勞等公共場(chǎng)所邊點(diǎn)杯熱飲邊&ldquo;蹭網(wǎng)”，是不少消費(fèi)者用手機(jī)網(wǎng)上沖浪的便利選擇。不過(guò)，這些免費(fèi)的Wifi中，可能隱藏著“黑網(wǎng)”。近日，有黑客在網(wǎng)上自曝“釣魚”全程，只要一臺(tái)筆記本、一套無(wú)線網(wǎng)絡(luò)和相關(guān)軟件，就能搭起一個(gè)欺騙性Wifi，并從中竊取上鉤者的用戶名和密碼。安全技術(shù)人員承認(rèn)該方法的確行得通，提醒消費(fèi)者選擇Wifi時(shí)最好先和店員確認(rèn)，以免被騙。

冒充星巴克Wifi“請(qǐng)君入甕”

隨著近日各大網(wǎng)站的泄密門事件頻出，手機(jī)上網(wǎng)的安全也引發(fā)各方重視。近日在天涯論壇，一名自稱業(yè)余黑客者表示自己通過(guò)試驗(yàn)，發(fā)現(xiàn)手機(jī)移動(dòng)瀏覽器的破綻可輕易攻破，別人的用戶名密碼也能手到擒來(lái)，令大批網(wǎng)民嘩然。 “畢竟每個(gè)月上微博、查郵件、查淘寶、京東賬單等等全部在手機(jī)上搞定，不驗(yàn)證一下不踏實(shí)。”發(fā)帖者稱。

帖子稱，在星巴克、麥當(dāng)勞等通常有無(wú)線熱點(diǎn)的公共場(chǎng)所，只要一臺(tái)Win7系統(tǒng)電腦、一套無(wú)線網(wǎng)絡(luò)及一個(gè)網(wǎng)絡(luò)包分析軟件，設(shè)置一個(gè)無(wú)線熱點(diǎn)AP，就能輕松搭建出一個(gè)“李鬼”Wifi網(wǎng)絡(luò)。為了讓更多的手機(jī)用戶被欺騙連接到該熱點(diǎn)，Wifi被直接命名為Starbucks 2，且不設(shè)密碼，可以輕松接入。

“星巴克的客戶一般會(huì)拿出手機(jī)上網(wǎng)，這時(shí)會(huì)同時(shí)搜索到星巴克官方Wifi和假的Starbucks 2熱點(diǎn)，因?yàn)楹笳卟恍枰艽a，很多用戶會(huì)首先連接該熱點(diǎn)。”該黑客說(shuō)，這樣很容易吸引 “小魚進(jìn)網(wǎng)”，進(jìn)而偷窺其隱私。

誤上“李鬼”網(wǎng)絡(luò)或損失慘重

昨天下午，記者分別走訪了南京路步行街附近的兩家星巴克和Wagas咖啡，店內(nèi)工作人員表示，其官方Wifi的確需要從店員或是通過(guò)中國(guó)移動(dòng)的WLAN獲取密碼才能登陸。 “不過(guò)，如果客人在店內(nèi)自行搭建其他Wifi網(wǎng)絡(luò)，我們也無(wú)權(quán)干涉，畢竟很多筆記本電腦都能直接共享網(wǎng)絡(luò)。”星巴克店員無(wú)奈地表示。

一旦消費(fèi)者入網(wǎng)，只要通過(guò)用戶名和密碼訪問(wèn)網(wǎng)站，黑客便有可能竊取其隱私信息。該黑客以UC瀏覽器為例，手機(jī)用戶如果使用了默認(rèn)UCWeb設(shè)置，即打開云端加速，那么https網(wǎng)站的信息便能輕易被竊取到。有網(wǎng)友回復(fù)，如果網(wǎng)銀、支付寶的密碼都能這樣被竊取，那賬戶內(nèi)資金無(wú)疑就成了板上魚肉任人宰割。

究竟事實(shí)是否真如傳言般這么可怕？國(guó)內(nèi)某知名安全機(jī)構(gòu)的一位工程師表示，上述陷阱的確有可能奏效。 “一般用電腦登陸網(wǎng)銀、支付寶時(shí)，會(huì)自動(dòng)跳轉(zhuǎn)到https的加密網(wǎng)址進(jìn)行操作。但UC瀏覽器為了提高訪問(wèn)速度，存在直接將請(qǐng)求協(xié)議截留、轉(zhuǎn)至其自身數(shù)據(jù)庫(kù)進(jìn)行中轉(zhuǎn)處理的情況，導(dǎo)致原先加密的密碼變成明文發(fā)送，幫黑客省去了破解工序。 ”該工程師表示。

UC瀏覽器稱遭人抹黑

對(duì)于上述情況，UC方面昨天向媒體發(fā)來(lái)聲明，否認(rèn)有相關(guān)漏洞，稱公司迅速按照文章內(nèi)容進(jìn)行驗(yàn)證，文章所指情況完全無(wú)法復(fù)現(xiàn)，因此他們認(rèn)為這是競(jìng)爭(zhēng)對(duì)手刻意抹黑。不過(guò)UC也坦言，如果用戶在公共場(chǎng)所連接任何不安全的釣魚Wifi，無(wú)論手機(jī)還是計(jì)算機(jī)的任何應(yīng)用都可能是不安全的，建議用戶特別留心。

不過(guò)，業(yè)界知名的烏云漏洞平臺(tái)昨天通過(guò)微博表示，雖然 &ldquo;你還敢用UC上網(wǎng)嗎”的帖子有點(diǎn)夸大，但UC設(shè)計(jì)的確存在缺陷，會(huì)將本來(lái)網(wǎng)絡(luò)加密的信息明文提交到自己服務(wù)器。當(dāng)前無(wú)線安全值得關(guān)注，特別是這種釣魚Wifi存在極大風(fēng)險(xiǎn)。

受訪工程師支招稱，如果用戶在咖啡廳里迫切需要上網(wǎng)，可以通過(guò)網(wǎng)銀、支付寶等的手機(jī)APP客戶端進(jìn)行訪問(wèn)，這樣比用瀏覽器訪問(wèn)的安全性大得多。