免费WiFi安全测试:五分钟内银行账号密码被盗

  近年,随着智能手机的普及,出门蹭WiFi也成了普遍现象。有些市民还经常在公共WiFi环境中使用手机支付功能,但在不安全的WiFi环境中,银行账号等隐私信息可被黑客轻易获取。昨日本市手机安全专家现场演示了如何在公共WiFi中轻松植入钓鱼网站和窃取账户信息,专家只用3分钟的时间就在WiFi环境中植入了钓鱼网站,轻松获取到记者的银行账号和密码。 360手机安全专家提醒说,不要轻易在公共WiFi环境中使用支付功能,需要购物时最好是回到家中或使用2G、3G、4G网络进行支付。

  真的很危险

  手机上输入啥 黑客电脑便显示啥

  智能手机现在已成为人们不可缺少的电子设备,为了节省流量费用,不少年轻人经常要寻找免费WiFi。但在公共WiFi环境中,你的账号信息不经意间就会被黑客窃取。

  据央视报道,今年国内曾发生多起银行卡被莫名盗刷的情况,不少受害者都表示,在银行卡被盗刷时,银行卡和口令卡均在身边,手机也没有收到相关账户变动信息,但是在银行卡被盗刷前均使用过免费WiFi。近期,本市也发生多起银行卡被盗刷的事件。对此,有手机安全专家表示,WiFi虽然提供了免费上网的便利条件,但是却存在很大的安全漏洞。使用免费的公共WiFi,特别是无密码WiFi时,容易陷入黑客设置的钓鱼网站或泄露账户信息。昨天本报邀请了本市手机安全专家进行了现场演示,模拟黑客如何在WiFi环境中盗取账户信息。结果不到5分钟的时间,专家就轻而易举地获取到记者的账号和密码。

  演示背景

  一台电脑一个路由器搭建WiFi环境

  在演示之前,专家先准备了一台笔记本电脑和一个常见的路由器和两个软件。首先将电脑连接互联网,再将电脑与路由器连接,通过笔记本电脑的网络分享制造出一个无密码的WiFi环境,手机用户在该环境中可以自由登录互联网。同时,专家还用软件设计了一个假想的“钓鱼网站”。在演示的过程中,专家通过WiFi环境植入钓鱼网站,并获取记者的账号和密码,这样不到5分钟,演示环境即设置完成。

  演示1:输入银行官网网址 会登录钓鱼网站

  第一个演示叫“域名劫持”。演示开始时,专家先向记者提供了一个完全无误的银行官网网址,演示时他将使用软件对该网址的域名进行修改。修改成功后,该WiFi环境的手机用户只要登录这个银行网址,就会自动将网址跳转至专家提前设计的“钓鱼网站”。专家表示,一般的黑客会设计出与银行、购物等网站相同的界面,用户登录该界面时很难察觉,一旦使用支付功能,银行卡内的钱就会神不知鬼不觉地跳转至黑客的账户。

  随后,专家在笔记本电脑上打开一个软件,并使用该软件对银行官网的域名解析进行修改,不到2分钟即修改完毕。这时,记者开始在手机浏览器上输入正确的银行官网网址,记者先后进行了5次操作,该官网都自动跳转至专家之前设计好的“钓鱼网站”。

  演示2:通过“抓包”获得账户密码信息

  近期不少受害者都表示,银行卡在未离身的情况下,还是被盗刷了不少钱,接下来的实验将解释这一现象。这个演示叫“抓包”,专家使用“抓包软件”,3分钟即获取了记者的账户和密码。

  实验开始时,专家在笔记本电脑上打开一个“抓包”软件,只进行了非常简单的几步操作就设置成功。此时,记者开始登录某网站,并先后5次输入账号和密码信息。实验结果是,每次输入以后,账号和密码信息都无一遗漏地出现在笔记本电脑的“抓包”软件中。

  专家表示,比较专业的网站都会有密码保护措施,会以加密形式传输。黑客窃取到账号密码后,会对密码进行解读,有时会通过暴力破解的方式,将常规密码一一进行测试,多数密码都可被解读。

  如何来防范

  手机支付时别蹭网 用自己的流量

  使用公共WiFi都会有哪些危险

  360手机安全专家艾先生表示,公共WiFi存在的危险因素主要有三种:

  1. 如果公共WiFi被黑客植入

  钓鱼网站,手机用户在该环境中支付时就可能会将钱转入黑客的账户。由于黑客设计的“钓鱼网站”与正确的网址界面基本无异,所以很难察觉。

  2. 在不安全的WiFi环境中,

  黑客可通过“抓包”软件获取用户的账号和密码等信息,进而盗刷用户的银行卡。

  3. 黑客可使用“听包”软件,

  在近距离内,通过WiFi无线电波,轻易获取用户的聊天记录、账户信息等。“听包”这种技术相对有些难度,但是给用户造成的损失也是最大的。

  手机支付时最好用2G、3G、4G等安全网络

  艾先生表示,目前在广场、车站、餐厅等场所均设有免费的WiFi供市民使用。黑客会在公共场所也搭建无密码的WiFi,或设置一个名称与车站、餐厅等近似的WiFi名称,这样用户就会毫无防备地陷入黑客的陷阱。

  那么如何避免这种情况出现呢?艾先生说,首先要尽量不使用不明来源的WiFi,尤其是不需要密码的WiFi。如果使用商家提供的免费WiFi网络,最好主动向商家询问WiFi的具体名称,以免不小心连接黑客搭建的WiFi。二是,不要轻易在WiFi网络环境下进行支付,如果需要支付,最好是回到家中或使用2G、3G、4G等安全网络进行支付操作。三是最好关闭WiFi自动连接的功能。如果这项功能打开的话,手机在进入有WiFi网络的区域就会自动扫描,并连接上不设密码的WiFi网络,这就会增加用户误连钓鱼WiFi的概率,为了一时方便而留下安全隐患。

  不要轻易对手机进行“越狱”操作

  昨天,艾先生还提醒说,不少手机用户因误入钓鱼网站而遭受经济损失,所以平时用户要注意手机的使用安全,对别人发来的“中奖”、“特大优惠”等有诱惑力的信息要多留心,不要轻易点击信息中的链接地址,这些链接多数是钓鱼网站;另外,要通过正规渠道购买手机,从小店购买的手机可能在出售前被植入“木马”、“吸费”等软件;最后,最好不要对手机进行Root(或越狱),Root(或越狱)以后手机的操作权限虽然变大,但是安全系数会降低,可随意安装各种不同的恶意软件。

  定期修改家中WiFi密码

  市民家中的WiFi同样也存在不安全因素。今年有多种路由器产品被爆存在后门漏洞,另外,市面上还出售各种WiFi密码破解软件。一旦WiFi密码被破解,市民面临的不只是蹭网的问题,还可能因此遭受经济上的损失,所以即使在家中也要尽量使用2G、3G、4G等安全网络进行支付操作。“为了安全,市民最好定期修改家中的WiFi密码,并关闭互联网直接访问路由器的权限。 ”安全专家表示。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:AirWatch推出AirWatch Chat,为企业通讯保驾护航