又到一年3.15将至,想必很多童鞋对去年315晚会现场演示的免费WiFi“盗”取现场观众的网络帐号的过程记忆犹新。那么在免费蹭网时代的背后,那双无影的黑手到底是如何将你的个人网络帐号/隐私截获的?免费的无线真的有那么不靠谱么?
去年,大多小伙伴应该都留心到了,百度/淘宝等等一线大站都接连启用了全站的HTTPS加密访问通道(就是浏览器地址栏的绿锁),有点网络基础的童鞋应该明白,传统的HTTP通讯过程中是完全透明的,任何一个网络节点(路由器)都可以轻易捕获到用户的通信数据,甚至恶意劫持用户的网络封包,比如前几年运营商非法劫持用户强插广告事件等等。
这一切说明,传统的HTTP等非加密通信协议并不是完全可靠的,回到我们的WiFi局域网同样如此。由于是本地局域网,劫持蹭网用户变得更加的容易和隐蔽,甚至即便是没什么基础的小白都可以轻易的做到。
举一个最简单的例子,假如菲菲君带着笔记本在KFC创建了一个跟KFC提供的WiFi完全相同SSID的免费热点。这时候一旦有人接入,就可以在自己的电脑端通过Wireshark抓包软件,轻而易举的捕获到他人的上网数据,可以知道对方访问了什么网站、拿到对方的QQ号的Skey登陆权限、微博信息……
再举个假设,比如我们借助万能钥匙连接上了隔壁小王家的WiFi,恰巧小王由于安全意识淡薄,并没有修改路由器默认的管理密码,或者密码过于简单,这时候我们就可以轻松的得到对方路由器的管理权,修改路由器的DNS为自己控制的DNS后,就可以轻而易举的劫持到小王的QQ/微博,甚至的支付宝、网银...
当然啦,菲菲并不是危言耸听,并非所有的免费WiFi都是不靠谱的,就好比并不是所有某省打来的陌生电话都是骗子电话一样(没有任何地域的意思哈,仅打个比方)。
这里只是想告诉大家,出身在外、难免蹭网,尤其是在连接陌生可疑的WiFi热点的时候,尽量不要使用网银、支付宝等等敏感的软件,转而使用数据流量也许更加靠谱一些。当然,如果只是蹭网看看网页,刷刷朋友圈,逛逛微博什么的,也那无所谓啦~
(原创文章版权所有,如需转载请注明原文链接!)