如何让wifi使用更安全

2015 年 4 月 17 日2830

原标题:解密伪造钓鱼wifi:如何让wifi使用更安全

  央视3·15晚会再次关注手机应用安全问题,在晚会上曝光了免费wifi的安全问题,并在现场给大家演示了利用伪造钓鱼wifi技术窃取了台下观众的上网内容。坦白的说,很多手机用户也已经习惯"蹭网",他们喜欢在咖啡馆、茶馆、宾馆等公众场合登录wifi进行各种操作,相当不安全!

  "西湖论剑"——中国sis大会会场的绵羊墙

  在"西湖论剑"——中国sis大会的会场上,安恒信息的安全专家曾为了提高大家的安全意识,现场建立了一个免费的wifi,现场参会人员一看有免费的wifi,登录使用,结果邮箱、社交网站入口等账号的密码都被破译,上当的还有一起进入会场的几十个人。

  现在,安恒信息的安全专家再次给大家演示下,如何在1分钟内完成伪造钓鱼wifi热点的创建并开始抓取别人密码。做这个演示仅仅是为了让各位有一个心理准备:公众wifi很危险!如果你去犯罪,安全专家可以很负责的告诉你:警察叔叔想抓你的话,还是有办法的!很多比这高明的都抓进去了。

  话说,某日,小川在星巴克看到一个姑娘正在上51job找工作,姑娘又长得很好看、想搭讪又不敢,于是小川在路过她身边的时候,瞥了一眼:很好,51job、wifi版的ipad。

  一切,都是那么的和谐啊……

  想要有她的51job帐号、密码,不就有了她的住址、电话、邮箱了么?有了电话,不就有了微信,甚至qq了么?

  打开手机的3g,脸上笔记本电脑,坐在姑娘附近(确保信号强度非常重要!)

  打开软媒wifi助手,理论上你用各种随身wifi都一样,创建一个热点,比如名字就叫starbucks,为什么用这个呢?因为很多自诩小资的姑娘、小伙在星巴克喝咖啡啊、上网啊……

  创建一个热点,密码要和星巴克的一样,对,和真实的一样!

  务必要坐在姑娘身边,确保你的信号可以压过星巴克真实wifi,也就是李鬼starbucks的信号强度要压过李逵的信号强度。

  当然,出于效果的考虑,建议ddos真实starbucks的wifi热点,通过流量或者连接数的方式将其打瘫。这样,妹子自然就会连上你的wifi了。

  然后,打开抓包软件,看到没?图最下面的区域,username=和password=这里,后面的verifycode是验证码。

  好了……简单不?简历里面有地址、有电话、有邮箱!

  只是用星巴克做个例子——有朋友提到starbucks有的地方要web登录。

  当然,有朋友可能会问:登录微信、qq也会被抓到密码么?no,登录是加密的。无法获取密码等信息。当然,游侠对webqq不放心,于是在手机上打开浏览器登录了qq。

  看到了么?qq号是可以抓到滴,不过密码拿不到。

  同时如果你测试招商银行手机网银大众版、招商银行手机客户端,发现都走了https(而不是http,最后的s是加密的意思),所以安全性还是可以保证的。

  当然,如果攻击者真想做更多的事情,也是可以的,比如让你打开网易,但弹出的是搜狐;比如打开的是银行,而实际上展现给你的是攻击者自己做的虚假银行页面,不过这个就比较麻烦(其实也不是特麻烦),就不多说了。得对得起这个标题!(1分钟啊!,你会发现,操作稍微熟悉一些,1分钟完全不是问题!)

  安恒信息安全专家举这个例子是为了说明公众wifi(非可信wifi)的危害性。如果你身边有朋友经常在公众场合连接wifi,请转发给他(她),让ta知道危害有多大!

  个人怎样使用wifi才安全?

  1、安全信息安全专家别随便连接wifi,公共场合请尽量使用2g/3g/4g!

  2、在日常使用电子设备时最好关闭“wifi自动连接”功能。因为如果这项功能打开的话,手机在进入有wifi网络的区域就会自动扫描并连接上不设密码的wifi网络,这会大大增加用户误链钓鱼wifi的几率。

  3、如果你一定要用公共wifi的话,建议你一定要细心要辨明网络热点名称,攻击者喜欢利用用户习惯免费“蹭网”心理,设置一个与公共环境非常相近、容易迷惑人的名称。而安全的方式是直接向提供服务的商家询问wifi信息,索要安全登录密码,并尽量不要在公共wifi下网购或登录网银、第三方支付平台,防止用户个人信息、重要账号、密码泄露等。

  4、第三方软件发送的免费登录账号和密码,可能存在很大的安全隐患,要尽量避免使用。

【1】【2】

下一页

0 0