2.8萬存款被盜!專家解釋「用公共WiFi=裸奔」帳密GG 網友秒懂
▲現代人智慧手機不離身,走到哪都要上網。(圖/記者林世文攝)
日前在深圳從事水果生意的傅先生指,他在華強北附近用手機連上公共Wi-Fi,數分鐘後就收到銀行訊息,顯示帳戶內人民幣6000多元(約臺幣2.8萬元)存款遭盜,經媒體披露引發熱烈討論。就有專家呼籲,使用公共Wi-Fi存在不小風險,帳號、密碼面臨的危險程度近乎「裸奔」,更揭露3大釣魚手法,網友看了秒懂。
網友在PTT發文,表示Wi-Fi Phishing(網路釣魚)出現快20年了,但直到今天還是有無數民衆愛用公共、免費的Wi-Fi服務,事實上非常危險。他說,大家要有一個簡單的基本概念,「只要掌控封包,使用者所有未加密的資訊都將會開誠佈公,一五一十的出現在你面前。」
他舉例,像是PTT平臺預設就是明碼傳輸,若用Wi-Fi上網,Wi-Fi提供者可以直接看到使用者的帳號和密碼,「明碼傳輸連一點技術門檻都沒有,連破解都不用破解。」更恐怖的是,就算是已加密的資訊,目前使用SSL2.0的伺服器也幾乎都有辦法破解,「只是運算的時間問題」。
Wi-Fi網路釣魚大致上分成3種,「假造熱點,提供網際網路」、「假造熱點,不提供網際網路」、「攻擊熱點,直接擷取資料。」他說,Wi-Fi提供者透過僞裝的熱點名稱,讓終端使用者連入,就能掌控所有封包,也能造假使用者想要連接的網頁,例如僞造Gmail或網路銀行頁面,就能拿到使用者輸入的帳號和密碼,「任何的網站皆可以如此做,只是複雜度與時間性的問題。」
▲網友警告,使用公共Wi-Fi後輸入任何帳號、密碼都是相當危險的事。
網友補充,上述方式是「造假網站」,其中最難的技術門檻是要把使用者導回真正的網站,所以有些人乾脆不把使用者導回,技術門檻大幅下降。以造假Facebook頁面舉例,初階的模式是隻做登入頁面,當使用者登入後,就會發現一片空白沒有下一步了;進階一點的作法,可以製造「帳號密碼輸入錯誤」的提醒頁面。
他認爲,現在的使用者手機多會自動記憶連過的熱點名稱,但連接到僞裝過的公共WI-FI後,就會進入假的認證登入頁面,只要輸入帳號密碼,個資就泄露了。他說,一直以來iTaiwan都有這個問題,多年前曾向國發會反應,結果數年來一直石沉大海,直到去年底才終於在cookie中加上了認證的標籤。
最後,他給了一句淺顯易懂的建議,呼籲民衆保護個資的最好方法,就是別再使用公共、免費的WI-FI,「結論就是,當你別人Wi-Fi的那一刻,你基本上就已經在裸奔了。」