蹭網成信息泄露重災區 8成WiFi在15分鐘內被破解

　　中國的公共WiFi在去年迎來爆發式增長，因免費WiFi而引發的網銀賬號被盜、個人信息泄露等案件也呈逐年上漲趨勢。

　　國內80%的WiFi能在15分鐘內被輕易破解，超過400萬家用WiFi密碼設置不安全。平均每天有約3.06%的WiFi會遭遇DNS劫持攻擊，DNS被惡意篡改已經成為全球網絡安全的最大隱患﹔4.97%的WiFi會遭遇ARP攻擊。半年時間國內就有9.5%WiFi實際遭遇了蹭網侵害，帶來的網費損失每年多達50億元。這是近日發布的《2015中國WiFi安全綠皮書》中披露的數據。

　　超5成用戶不知WiFi安全問題

　　綠皮書認為，目前，在未知的網絡環境中，公共WiFi可能存在嗅探者，將我們的上網賬號、密碼等信息拿走﹔可能存在ARP攻擊(中間人攻擊)，導致文件、照片等私密數據被竊取﹔可能存在惡意DNS,迫使上網者連接釣魚網站，網銀被盜刷等三大安全隱患。

　　在一項調查中發現，黑客可以讓咖啡廳的顧客在不知情的情況下，將顧客使用的合法WiFi變成假WiFi,通過這樣的方式來竊取用戶電話、電子郵件賬號及密碼等信息，進而盜取銀行賬戶。在國內使用“蹭網神器”分享的WiFi熱點也可能不安全。

　　因使用WiFi而引起的WiFi釣魚、挂馬盜取賬號、竊取隱私甚至盜用用戶銀行卡存款的行為時有發生。據警方介紹，不法分子僅需一台WIN7系統電腦、一套無線網絡及一個網絡包分析軟件，設置一個無線熱點AP,就可以輕鬆地搭建一個不設密碼的WiFi。如果用戶連接這個免費WiFi,不法分子可通過替換非法網站，截獲網絡數據破解密碼，篡改收款人轉賬接收賬戶等方式盜取錢財。

　　然而，數據表明，人們會關注到很多WiFi聯網實際操作問題，但超五成用戶都沒有意識到WiFi的安全問題。一項調查報告顯示，在Android聯網用戶中有49.75%的人會使用WiFi聯網。這其中86.03%的用戶喜愛用WiFi上網聊天，有67.23%的人關注到WiFi聯網速度慢的問題，甚至有62.05%的人吐槽WiFi連接太麻煩，竟然需要密碼。而僅僅有49.14%的人會關注WiFi安全問題。

　　篡改DNS成網絡安全最大隱患

　　綠皮書指出，目前，國內WiFi公共熱點數量約為650萬個，運營商WiFi超過520萬，商業公共WiFi約100萬，另有約20萬政府公共WiFi,超過1億個家用WiFi。使用WiFi上網，DNS服務器是上網過程中的一項重要環節。DNS被惡意篡改已經成為全球網絡安全的最大隱患，波及范圍越來越廣。

　　業內人士表示，DNS時常會被黑客惡意篡改，一旦使用被篡改的惡意DNS服務器訪問網站，用戶很有可能被劫持至釣魚網站，最終導致賬號密碼等個人隱私信息被盜。

　　據調查數據顯示，在全球范圍內，惡意DNS服務器分布中，韓國以24.82%居首，中國香港、美國分別以20.37%、18.08%位列第二位、第三位，此后依次為日本12.18%、中國廣東8.96%、中國浙江6.28%，其他9.31%。從數據中看出，國內受惡意DNS影響較大。而在風險WiFi佔比最高的國內Top10城市中，北京以3.82%佔比位居首位，深圳、廣州以3.69%、3.04%位列第二、第三位，上海2.78%，之后依次為重慶2.69%、東莞2.11%、成都1.98%、西安1.54%、鄭州1.47%以及南京1.39%。

　　販賣個人信息形成黑色產業鏈

　　綠皮書稱，連接不安全WiFi不僅有個人財產損失的風險，還會泄露和侵害公民個人信息。經過龐大的網絡交易市場的推波助瀾，在巨大利益驅使下，黑客的隊伍日益壯大，不安全WiFi日益猖獗，成為新的信息泄露重災區，給人們的日常生活帶來了極大的安全隱患。同時，釣魚WiFi竊取個人信息成為黑色產業鏈上游，釣魚網站、手機木馬成為作惡幫凶，購買個人信息進行精准營銷或精准詐騙則成為產業鏈下游，黑色產業鏈規模或高達上百億元。

　　黑客還可以通過病毒、木馬程序，讓接入者的設備中毒，獲取終端數據，另外，免費WiFi給黑客植入釣魚網站提供了便利。通過相關技術，黑客可以在接入者瀏覽網站時植入一段HTML代碼，使其自動跳轉到釣魚網站。如果此時登錄銀行、支付寶等進行電子商務交易，接入者就會面臨更嚴重的經濟損失。

　　大量個人信息被出售、倒賣到哪裡？誰在利用公民個人信息作惡？目前，非法買賣個人信息帶來的高額利潤使大批不法分子趨之若鹜，甚至悄然形成了一條收集、加工、倒賣個人信息的地下“產業鏈”，結成了一條完整的犯罪網絡和利益鏈條，作案隱蔽，內外勾結，並與詐騙等下游犯罪相互交織，在這條“產業鏈”上，每一個“鏈條”都“拴”著利益。據悉，黑客實際掌握用戶數據庫的數量已超過1億條，中國黑客的黑色產業鏈規模或高達上百億元。

　　建議不用陌生WiFi網購支付

　　“相比家庭WiFi,當前連接公共WiFi更容易掉入黑客陷阱，遭受財產損失、賬號安全、隱私泄露等威脅，廣大手機用戶蹭網、連接打著官方名稱的WiFi時都應提高警惕。”綠皮書強調。為確保WiFi使用者移動上網安全，業內人士建議，關掉WiFi共享，不要自動連接WiFi網絡，拒絕公共場合中來源不明的WiFi,尤其要特別警惕同一地區有多個相同或相似名字的WiFi。

　　同時，盡量不使用陌生WiFi網購。在公共WiFi下最好不要登錄涉及支付、財產相關賬號密碼，即便當前WiFi較為安全。如非要登錄可使手機切換至2G/3G/4G流量網絡。多數WiFi被盜案例均是通過連接公共網絡后，在手機客戶端應用、網頁中輸入網購賬號密碼、個人信息等敏感數據，最終被黑客通過技術手段竊取。

　　綠皮書建議，最好用手機客戶端進行購物、支付等操作。手機網購、銀行客戶端等多採用如客戶端綁定、SSL加密技術、超時退出等多重先進加密手段，防止被他人截獲，確保交易安全，相比登錄網頁操作的安全性更高。此外，定期更改個人社交賬號密碼以及網銀密碼等信息。