如何吃好“免費的午餐”

文/解運洲

如何吃好“免費的午餐”

文/解運洲

互聯(lián)網(wǎng)思維告訴我們：免費的背后是巨大的利益。正規(guī)的商家用適量的“免費”來吸引消費者，不法分子則用“免費”來做“魚餌”，盜取消費者信息。拋去這句話的商業(yè)動力，僅從消費者的角度來看，免費Wi-Fi是普通網(wǎng)民高速上網(wǎng)、節(jié)省流量資費的重要方式，目前雖然面臨一些安全陷阱，但只要我們預(yù)先做好防范措施，“免費的午餐”還是可以愉快享用的。

初次使用一個陌生免費公共Wi-Fi時，需判斷哪個是真正的商家Wi-Fi熱點，不能確定時，一定要咨詢商家。經(jīng)常有一些“李鬼”冒充“李逵”，比如“CMCC 1”、“CMCC FREE”等極具迷惑性。同時，正規(guī)的Wi-Fi熱點是需要提供連接信息確認的，比如輸入手機號碼、郵箱等，并輸入收到的確認信息后進行Wi-Fi連接。如果不需要提供任何信息確認，則一定要慎重；如果需要輸入一連串個人信息的，也一定要及時停止接入，因為這些都有可能對你造成經(jīng)濟損失。

兩種接入方式的選擇

目前公共Wi-Fi接入方式主要分為兩種：

第一種是商家自建的免費公共Wi-Fi，輸入密碼即可進入網(wǎng)絡(luò)。所有人通過同一個密碼進入網(wǎng)絡(luò)，或者不輸入密碼也可進入。這種方式容易給黑客入侵留下機會，就好比把鑰匙交給所有人，大家進入同一扇大門，很不安全（如圖1）。

第二種是運營商的公共Wi-Fi接入，包括三大運營商和網(wǎng)絡(luò)虛擬運營商，大多采用“WEB頁面認證”的方式，支持HTTPS加密協(xié)議。每個人對應(yīng)唯一的用戶名和密碼，用戶在這個網(wǎng)頁里填寫的信息，都被送到終端去解密、認證。所有用戶的IP地址都是由核心路由器分配的（如圖2）。

圖1

圖2

在運營商的網(wǎng)絡(luò)中，黑客無法通過截取用戶的IP地址竊聽廣播數(shù)據(jù)包。即便黑客知道這個IP地址，自己去設(shè)一個IP也無法訪問。每一個用戶IP和遠程終端都是一一對應(yīng)的，只有經(jīng)過核心路由器分配的地址才能訪問網(wǎng)絡(luò)。同時，核心路由器還會實時監(jiān)測用戶是否在線，如果用戶不在線上，會及時收回網(wǎng)絡(luò)資源，關(guān)閉通道，保障用戶安全。

根據(jù)公安部的相關(guān)規(guī)定，免費公共Wi-Fi必須進行認證，而目前常用的認證方式包括：手機號碼驗證、微信驗證和微博驗證。雖然給合法消費者增加了接入的麻煩，但同時也提高了不法分子的違法成本。

黑客慣用的手段

大多數(shù)黑客是以竊聽密碼為主，因破解密碼很難。一般說來，移動終端上大公司的APP軟件都是嚴格加密的，不能竊聽密碼，但賬號可能會被竊聽。另外，網(wǎng)頁登錄時會有非常嚴重的密碼泄露風(fēng)險！通常不法分子慣用的破壞手段包括：

1. 域名劫持

消費者輸入正確的網(wǎng)址，跳出的網(wǎng)頁卻是與之相似度極高的山寨釣魚網(wǎng)站。黑客通過無線路由器的管理后臺，對域名系統(tǒng)進行修改。當(dāng)消費者輸入網(wǎng)址時，服務(wù)器直接把IP跳到黑客設(shè)置的釣魚網(wǎng)站。黑客直接在空中攔截數(shù)據(jù)，并偽造假數(shù)據(jù)發(fā)送，這種無線注入攻擊很恐怖，也很難防御。

2. 釣魚Wi-Fi

黑客喜歡在繁華商業(yè)區(qū)構(gòu)建一個不加密的Wi-Fi，并把Wi-Fi的名字起為“CMCC”、“KFC”等眾所周知的熱點名稱，引誘網(wǎng)民“上鉤”。由于架設(shè)一個釣魚Wi-Fi毫不費力，黑客設(shè)置好Wi-Fi路由器和網(wǎng)絡(luò)共享后，就可以喝著咖啡守株待兔了。

3. ARP攻擊

ARP攻擊是局域網(wǎng)內(nèi)一種非常古老的攻擊方式，黑客利用偽造的ARP廣播包建立合法的信任，達到截取偷聽的目的。黑客通過偽造IP地址和MAC地址實現(xiàn)APP欺騙，截取網(wǎng)絡(luò)數(shù)據(jù)。

4. 植入病毒程序

智能手機可以通過網(wǎng)絡(luò)安裝各種軟件和游戲，黑客通過Android市場把木馬病毒植入安裝軟件程序中，當(dāng)消費者下載安裝后，就會中病毒，黑客再以此獲取用戶的信息。

5. 隱私泄露

免費公共Wi-Fi可促進實體店和消費者建立O2O營銷的通道，商家希望采集到一些商業(yè)數(shù)據(jù)，實現(xiàn)二次營銷。如果不拿消費者數(shù)據(jù)作為交易，這種情況是合法行為。但有些信息確實會泄露，比如手機MAC地址、手機型號、賬號名稱、APP軟件名稱等等。

如何降低安全風(fēng)險

免費公共Wi-Fi的安全性是相對的，并且控制權(quán)在消費者自己手中，只要不亂下載、亂輸入、增強判斷合法熱點的常識，就可以避免很多不必要的麻煩。

常用軟件如微信、QQ、支付寶等采用橢圓曲線、雙向數(shù)字證書等非對稱強加密保護，相對是安全的。但APP軟件有成千上萬，亂裝APP就有可能導(dǎo)致感染病毒，有金融支付的安卓手機盡量不要安裝不明軟件，很多公共場合黑客釣魚Wi-Fi會誘導(dǎo)您去下載APP才能上網(wǎng)，千萬不能上當(dāng)。

在公共場合，特別是使用網(wǎng)頁瀏覽器，不要隨意輸入自己的手機號、密碼等，容易被盜號。此外，關(guān)閉路由器的WPS、UPNP等不必要功能，也可以減少安全風(fēng)險。

免費公共Wi-Fi接入只是通道的建立，和3G網(wǎng)絡(luò)一樣，通常只是相對安全，因為確實存在賬號和密碼被釣魚竊聽的風(fēng)險，可能是黑客、智能路由器，也可能是商家等任何人。所以，免費公共Wi-Fi無論是否加密，其安全性都是一樣的，因為黑客也知道密碼。消費者只有在確定提供方準確的情況下，才能大膽使用免費公共Wi-Fi。

結(jié) 語

公共Wi-Fi的安全問題涉及多方面細節(jié)，比如釣魚網(wǎng)站、密碼泄露、惡意攻擊、設(shè)備漏洞、網(wǎng)絡(luò)傳輸、管理疏漏等等，一方面需要運營方和設(shè)備廠家提高設(shè)備安全性能，另一方面需要依賴法律的健全來保障消費者的信息安全。

免費的公共Wi-Fi日益普及，在帶給消費者便利的同時，也為消費者帶來了潛在的信息安全隱患。

（作者單位：上海市物聯(lián)網(wǎng)行業(yè)協(xié)會）