公用免费WiFi潜藏的风险

公用免费WiFi潜藏的“钓鱼”风险及策略探究

摘要：随着城市信息化水平的不断提高，无线WiFi网络的使用率和覆盖率正在成倍提升，越来越多的休闲娱乐场所、公共场所开始提供WiFi增值服务，但是在公共场所大规模的接入免费WiFi是不安全的，很多免费WiFi潜藏着钓鱼风险，用户随意接入可能面临着被窃取个人重要信息的风险。因此，本文在阐述公用免费WiFi使用现状的基础上，重点介绍了钓鱼WiFi的工作原理、发展现状、获取用户的途径以及危害性，然后从个人、企业、运营商、政府四个层面出发，就如何加强钓鱼WiFi网络的安全防护提出了相应的建议和对策，从而为保障广大网民的财产安全，并全面提高WiFi上网的安全性奠定良好基础。

关键词：免费WiFi；钓鱼WiFi；网络安全；热点；信息泄露

1 引言

随着信息时代的到来，免费无线WiFi网络正以迅雷不及掩耳之势涌现、覆盖于机场、火车站以及商场等公共场所。WiFi网络的特点是简单可靠，具有广泛的适用性，因此，越来越多的移动设备，如手机、相机等电子设备开始接入WiFi网络。WiFi网络的普及性再一次验证了科技进步的重要性，但是WiFi网络技术所带来的安全隐患也是不容忽视的。

随着城市化进程的不断推进，信息的快速传播成为了城市现代化发展的重要衡量指标，WiFi网络的出现，为人们的工作、生活和娱乐提供了广阔的空间。在公共场所提供免费WiFi 服务的本意在于为顾客提供良好的网络服务，但是近年来，公共场所免费WiFi盗用、监听用户信息的网络安全事件层出不穷，另外还有一些潜藏的钓鱼网站或病毒通过热点入侵到用户的手机终端，从而造成用户财产损失的案例屡见不鲜，因此，认识免费场所钓鱼WiFi的危害性，并加以警惕和戒备是十分必要的。

2 公用免费WiFi的使用现状及潜在隐患分析

2.1公用免费WiFi使用情况的数据分析

WiFi作为短程数据传输的重要无线工具，其广泛的使用率毋庸置疑。为了深入、全面的了解WiFi网络安全存在的问题，捷克安全软件公司通过对美国、欧洲、亚洲等9个城市的公用免费WiFi的安全性进行调查和数据分析，发现WiFi网络的保护机制多数是建立在加密机制的基础上，但是公用免费WiFi的防护性能较差，专业的黑客能够快速、准确的了解WiFi用户的网络使用信息，如网页浏览、密码、个人信息等，因此造成个人信息泄露的危机大幅度上升。

目前，公用免费WiFi中隐藏着存在安全隐患的钓鱼风险或病毒，如果用户随意连接公用免费WiFi，会为不法分子实行网络诈骗提供良好的契机。通过对我国公众网络安全意识进行调查分析，发现我国80%的网民安全意识淡薄，会随意的连接公用免费WiFi，其中45%的用户会浏览网页、微信、QQ等涉及个人隐私的通信工具，30%的用户会进行简单的网页浏览，5%的用户会在浏览网页、微信的基础上进行网上购物或网银交易。

2.2公用免费WiFi的五大潜在隐患分析

公用免费WiFi不安全因素具有多样化，一方面来自于人为因素的攻击和入侵，另一方面来源于技术本身存在的漏洞。公用免费WiFi的五大潜在隐患主要包括：第一，钓鱼WiFi。钓鱼WiFi是黑客利用网络技术所制造的假的无线热点，从而让更多的公共场所用户进行免费使用，进而获取用户隐私和个人信息。

第二，无线设备自身的安全性。WiFi设备本身在生产和流通的过程中会经过多个环节，因此，生产设计上的技术漏洞、流通营销上的防护损坏等都会带来安全隐患。如果将安全性较差的设备或未进行管理密码修改的设备用于公共场所，会为黑客借助公共免费WiFi入侵路由器提供便利，从而导致用户收到钓鱼网站或垃圾短信。

第三，协议安全漏洞。WiFi协议的使用，其最初目的在于实现局域内用户之间的数据传递和存取，随着新标准的出台和使用，WiFi协议增加了加密功能的使用，但是仍然需要谨防协议安全上的漏洞。

第四，内网监听。在公用免费WiFi网络的使用中，黑客会借助网络监听技术来进行用户资料的窃取，通常情况下，常用的内网监听方式主要有两种，其一是进行APP攻击，其二是网卡混杂模式监听，为了有效的排除两种监听隐患，加强APP防火墙和流量加密的使用是十分必要的。

第五，病毒和恶意代码。最常见的免费WiFi安全隐患就是通过向用户发送病毒链接、邮件，将病毒程序植入到用户的手机之中，当用户运行链接并下载相关软件后，就会造成个人信息的泄露。

3 钓鱼WiFi的工作原理及现状调研分析

3.1钓鱼WiFi的工作原理

首先，在公共场所搭建一个免费的WiFi热点难度系数较低，只需要准备一台能够发射无线热点的笔记本和一个路由器，然后借助移动3G网卡就能够进行搭建。

其次，钓鱼WiFi的工作原理和流程是：黑客选定公共场所——在公共场所搭建免费钓鱼WiFi——通过无线路由器进行WiFi热点的发射和网络共享——用户进行免费WiFi热点连接——窃取用户网络，并上传原始数据包到数据抓取解密软件——获取用户个人的身份信息、银行卡账户和密码信息——劫持用户网络账号，登陆服务网站进行银行转账或盗刷。

最后，黑客在建立好热点后，会为钓鱼WiFi取一个类似于CMCC或ChinaNet这样的热点名，或者根据附近商家店名来命名免费WiFi热点，从而让用户产生信赖感，进而通过解析用户上网痕迹，窃取个人信息。

3.2钓鱼WiFi的现状调研分析

第一，公共场所WiFi热点的来源主要是34%为第三方业务公司，23%为商铺，14%为寄生WiFi，9%为公共设备，8.5%为钓鱼WiFi，7.5%为家庭WiFi，4%为临时WiFi。

第二，87%的公用免费WiFi存在着广告欺诈行为，46%WiFi能进行账号信息窃取。

第三，公共场所用户选择无密码的WiFi热点的几率和比重较大。

4 钓鱼WiFi窃取用户个人信息的基本途径

4.1钓鱼WiFi设置陷阱

公共场所附近的商家为了能够吸引客户，会免费为顾客提供WiFi服务，黑客在对商家营业情况进行全面分析后，会搭建一个与商家WiFi名类似的免费接入热点，在公共场所活动的用户看到有免费WiFi接入点会进行连接，从而就中了钓鱼WiFi的圈套。

4.2盗用WiFi接入点信息

除了搭建相似WiFi热点的情况外，黑客还会通过伪造一个与商家WiFi名一模一样的免费WiFi热点来进行信息窃取。例如，当你远离商家WiFi热点的覆盖区域后，无线WiFi信号会减弱或出现不稳定，这时用户的手机WiFi接口会自动连接到具有相同WiFi名称的钓鱼热点上，从而在用户毫无察觉的情况下，快速的盗取了用户信息和资料。

4.3黑客主动进行网络攻击

钓鱼WiFi窃取用户个人信息的一个常见的手段就是借助黑客工具进行网络攻击，攻击、干扰正在运行、服务的WiFi热点和路由器，由于家庭使用的WiFi路由器的抗干扰能力、抗攻击能力比较弱，因此会快速的被黑客窃取到路由器的DNS，进而将路由器连接到带有钓鱼功能的接入点上，这种获取用户信息的方式情节严重的可以判定为刑事犯罪。

4.4黑客攻击附近商圈的家用路由器

部分黑客会钻路由器初始密码设置的空子，由于家用路由器的设置不具有严格的抗攻击性和安全性，且用户对网络知识和网络安全的认识有限，因此，黑客直接根据初始密码admin 进行路由器登陆，进而修改DNS所配置的代码，并对重要网页的IP进行篡改，从而在用户访问额过程中泄露重要信息。

4.5蹭网神器存在安全漏洞

随着蹭网神器WiFi万能钥匙等工具的开发和推广，为广大用户免费进行“蹭网”提供了极大的便利，用户通过下载WiFi万能钥匙，可以一键接入到部分有密码设置的WiFi热点上，虽然能够实现“蹭网”功能，但是这类软件所隐藏的潜在风险和巨大隐患是无法预知的。

5 公用免费WiFi钓鱼风险的危害性分析

5.1个人信息泄露，财产安全存在风险

在公共场所连接免费的WiFi热点，会面临的首要风险就是个人信息的泄露。因为连接了公用免费WiFi的过程中，有时可能需要用户输入验证码，但验证码确认后，用户的个人信息就会被后台所记录，进而网络公司就能够通过后台的信息记录，将需要进行推广的商家信息，发送到连接过WiFi热点的用户的手机上。经调研数据分析可知，公用免费WiFi中，有90%以上都具有获取用户信息的风险。

5.2骚扰电话、垃圾短信堆积如山

据腾讯移动安全实验室所发布的统计报告可知，2014年手机用户进行骚扰电话的举报次数达到了4.34亿，且随着网络WiFi的广泛应用，骚扰电话的举报次数以阶梯状的趋势逐