黑客自曝釣魚全程:在星巴克WiFi上網(wǎng)當(dāng)心遭暗算

　　晚報記者 秦川 報道

　　在星巴克、麥當(dāng)勞等公共場所邊點(diǎn)杯熱飲邊“蹭網(wǎng)”，是不少消費(fèi)者用手機(jī)網(wǎng)上沖浪的便利選擇。不過，這些免費(fèi)的Wifi中，可能隱藏著“黑網(wǎng)”。近日，有黑客在網(wǎng)上自曝“釣魚”全程，只要一臺筆記本、一套無線網(wǎng)絡(luò)和相關(guān)軟件，就能搭起一個欺騙性Wifi，并從中竊取上鉤者的用戶名和密碼。安全技術(shù)人員承認(rèn)該方法的確行得通，提醒消費(fèi)者選擇Wifi時最好先和店員確認(rèn)，以免被騙。

　　冒充星巴克Wifi“請君入甕”

　　隨著近日各大網(wǎng)站的泄密門事件頻出，手機(jī)上網(wǎng)的安全也引發(fā)各方重視。近日在天涯論壇，一名自稱業(yè)余黑客者表示自己通過試驗，發(fā)現(xiàn)手機(jī)移動瀏覽器的破綻可輕易攻破，別人的用戶名密碼也能手到擒來，令大批網(wǎng)民嘩然。 “畢竟每個月上微博、查郵件、查淘寶、京東賬單等等全部在手機(jī)上搞定，不驗證一下不踏實(shí)�！卑l(fā)帖者稱。

　　帖子稱，在星巴克、麥當(dāng)勞等通常有無線熱點(diǎn)的公共場所，只要一臺Win7系統(tǒng)電腦、一套無線網(wǎng)絡(luò)及一個網(wǎng)絡(luò)包分析軟件，設(shè)置一個無線熱點(diǎn)AP，就能輕松搭建出一個“李鬼”Wifi網(wǎng)絡(luò)。為了讓更多的手機(jī)用戶被欺騙連接到該熱點(diǎn)，Wifi被直接命名為Starbucks 2，且不設(shè)密碼，可以輕松接入。

　　“星巴克的客戶一般會拿出手機(jī)上網(wǎng)，這時會同時搜索到星巴克官方Wifi和假的Starbucks 2熱點(diǎn)，因為后者不需要密碼，很多用戶會首先連接該熱點(diǎn)�！痹摵诳驼f，這樣很容易吸引 “小魚進(jìn)網(wǎng)”，進(jìn)而偷窺其隱私。

　　誤上“李鬼”網(wǎng)絡(luò)或損失慘重

　　昨天下午，記者分別走訪了南京路步行街附近的兩家星巴克和Wagas咖啡，店內(nèi)工作人員表示，其官方Wifi的確需要從店員或是通過中國移動的WLAN獲取密碼才能登陸。 “不過，如果客人在店內(nèi)自行搭建其他Wifi網(wǎng)絡(luò)，我們也無權(quán)干涉，畢竟很多筆記本電腦都能直接共享網(wǎng)絡(luò)�！毙前涂说陠T無奈地表示。

　　一旦消費(fèi)者入網(wǎng)，只要通過用戶名和密碼訪問網(wǎng)站，黑客便有可能竊取其隱私信息。該黑客以UC瀏覽器為例，手機(jī)用戶如果使用了默認(rèn)UCWeb設(shè)置，即打開云端加速，那么https網(wǎng)站的信息便能輕易被竊取到。有網(wǎng)友回復(fù)，如果網(wǎng)銀、支付寶的密碼都能這樣被竊取，那賬戶內(nèi)資金無疑就成了板上魚肉任人宰割。

　　究竟事實(shí)是否真如傳言般這么可怕？國內(nèi)某知名安全機(jī)構(gòu)的一位工程師表示，上述陷阱的確有可能奏效。 “一般用電腦登陸網(wǎng)銀、支付寶時，會自動跳轉(zhuǎn)到https的加密網(wǎng)址進(jìn)行操作。但UC瀏覽器為了提高訪問速度，存在直接將請求協(xié)議截留、轉(zhuǎn)至其自身數(shù)據(jù)庫進(jìn)行中轉(zhuǎn)處理的情況，導(dǎo)致原先加密的密碼變成明文發(fā)送，幫黑客省去了破解工序。 ”該工程師表示。

　　UC瀏覽器稱遭人抹黑

　　對于上述情況，UC方面昨天向媒體發(fā)來聲明，否認(rèn)有相關(guān)漏洞，稱公司迅速按照文章內(nèi)容進(jìn)行驗證，文章所指情況完全無法復(fù)現(xiàn)，因此他們認(rèn)為這是競爭對手刻意抹黑。不過UC也坦言，如果用戶在公共場所連接任何不安全的釣魚Wifi，無論手機(jī)還是計算機(jī)的任何應(yīng)用都可能是不安全的，建議用戶特別留心。

　　不過，業(yè)界知名的烏云漏洞平臺昨天通過微博表示，雖然 “你還敢用UC上網(wǎng)嗎”的帖子有點(diǎn)夸大，但UC設(shè)計的確存在缺陷，會將本來網(wǎng)絡(luò)加密的信息明文提交到自己服務(wù)器。當(dāng)前無線安全值得關(guān)注，特別是這種釣魚Wifi存在極大風(fēng)險。

　　受訪工程師支招稱，如果用戶在咖啡廳里迫切需要上網(wǎng)，可以通過網(wǎng)銀、支付寶等的手機(jī)APP客戶端進(jìn)行訪問，這樣比用瀏覽器訪問的安全性大得多。