2.8万存款被盗!专家解释「用公共WiFi=裸奔」帐密GG 网友秒懂
▲现代人智慧手机不离身,走到哪都要上网。(图/记者林世文摄)
日前在深圳从事水果生意的傅先生指,他在华强北附近用手机连上公共Wi-Fi,数分钟后就收到银行讯息,显示帐户内人民币6000多元(约台币2.8万元)存款遭盗,经媒体披露引发热烈讨论。就有专家呼吁,使用公共Wi-Fi存在不小风险,帐号、密码面临的危险程度近乎「裸奔」,更揭露3大钓鱼手法,网友看了秒懂。
网友在PTT发文,表示Wi-Fi Phishing(网路钓鱼)出现快20年了,但直到今天还是有无数民众爱用公共、免费的Wi-Fi服务,事实上非常危险。他说,大家要有一个简单的基本概念,「只要掌控封包,使用者所有未加密的资讯都将会开诚布公,一五一十的出现在你面前。」
他举例,像是PTT平台预设就是明码传输,若用Wi-Fi上网,Wi-Fi提供者可以直接看到使用者的帐号和密码,「明码传输连一点技术门槛都没有,连破解都不用破解。」更恐怖的是,就算是已加密的资讯,目前使用SSL2.0的伺服器也几乎都有办法破解,「只是运算的时间问题」。
Wi-Fi网路钓鱼大致上分成3种,「假造热点,提供网际网路」、「假造热点,不提供网际网路」、「攻击热点,直接撷取资料。」他说,Wi-Fi提供者透过伪装的热点名称,让终端使用者连入,就能掌控所有封包,也能造假使用者想要连接的网页,例如伪造Gmail或网路银行页面,就能拿到使用者输入的帐号和密码,「任何的网站皆可以如此做,只是复杂度与时间性的问题。」
▲网友警告,使用公共Wi-Fi后输入任何帐号、密码都是相当危险的事。
网友补充,上述方式是「造假网站」,其中最难的技术门槛是要把使用者导回真正的网站,所以有些人干脆不把使用者导回,技术门槛大幅下降。以造假Facebook页面举例,初阶的模式是只做登入页面,当使用者登入后,就会发现一片空白没有下一步了;进阶一点的作法,可以制造「帐号密码输入错误」的提醒页面。
他认为,现在的使用者手机多会自动记忆连过的热点名称,但连接到伪装过的公共WI-FI后,就会进入假的认证登入页面,只要输入帐号密码,个资就泄露了。他说,一直以来iTaiwan都有这个问题,多年前曾向国发会反应,结果数年来一直石沉大海,直到去年底才终于在cookie中加上了认证的标签。
最后,他给了一句浅显易懂的建议,呼吁民众保护个资的最好方法,就是别再使用公共、免费的WI-FI,「结论就是,当你别人Wi-Fi的那一刻,你基本上就已经在裸奔了。」