如何吃好“免費的午餐”

文/解運洲

如何吃好“免費的午餐”

文/解運洲

互聯網思維告訴我們：免費的背后是巨大的利益。正規的商家用適量的“免費”來吸引消費者，不法分子則用“免費”來做“魚餌”，盜取消費者信息。拋去這句話的商業動力，僅從消費者的角度來看，免費Wi-Fi是普通網民高速上網、節省流量資費的重要方式，目前雖然面臨一些安全陷阱，但只要我們預先做好防范措施，“免費的午餐”還是可以愉快享用的。

初次使用一個陌生免費公共Wi-Fi時，需判斷哪個是真正的商家Wi-Fi熱點，不能確定時，一定要咨詢商家。經常有一些“李鬼”冒充“李逵”，比如“CMCC 1”、“CMCC FREE”等極具迷惑性。同時，正規的Wi-Fi熱點是需要提供連接信息確認的，比如輸入手機號碼、郵箱等，并輸入收到的確認信息后進行Wi-Fi連接。如果不需要提供任何信息確認，則一定要慎重；如果需要輸入一連串個人信息的，也一定要及時停止接入，因為這些都有可能對你造成經濟損失。

兩種接入方式的選擇

目前公共Wi-Fi接入方式主要分為兩種：

第一種是商家自建的免費公共Wi-Fi，輸入密碼即可進入網絡。所有人通過同一個密碼進入網絡，或者不輸入密碼也可進入。這種方式容易給黑客入侵留下機會，就好比把鑰匙交給所有人，大家進入同一扇大門，很不安全（如圖1）。

第二種是運營商的公共Wi-Fi接入，包括三大運營商和網絡虛擬運營商，大多采用“WEB頁面認證”的方式，支持HTTPS加密協議。每個人對應唯一的用戶名和密碼，用戶在這個網頁里填寫的信息，都被送到終端去解密、認證。所有用戶的IP地址都是由核心路由器分配的（如圖2）。

圖1

圖2

在運營商的網絡中，黑客無法通過截取用戶的IP地址竊聽廣播數據包。即便黑客知道這個IP地址，自己去設一個IP也無法訪問。每一個用戶IP和遠程終端都是一一對應的，只有經過核心路由器分配的地址才能訪問網絡。同時，核心路由器還會實時監測用戶是否在線，如果用戶不在線上，會及時收回網絡資源，關閉通道，保障用戶安全。

根據公安部的相關規定，免費公共Wi-Fi必須進行認證，而目前常用的認證方式包括：手機號碼驗證、微信驗證和微博驗證。雖然給合法消費者增加了接入的麻煩，但同時也提高了不法分子的違法成本。

黑客慣用的手段

大多數黑客是以竊聽密碼為主，因破解密碼很難。一般說來，移動終端上大公司的APP軟件都是嚴格加密的，不能竊聽密碼，但賬號可能會被竊聽。另外，網頁登錄時會有非常嚴重的密碼泄露風險！通常不法分子慣用的破壞手段包括：

1. 域名劫持

消費者輸入正確的網址，跳出的網頁卻是與之相似度極高的山寨釣魚網站。黑客通過無線路由器的管理后臺，對域名系統進行修改。當消費者輸入網址時，服務器直接把IP跳到黑客設置的釣魚網站。黑客直接在空中攔截數據，并偽造假數據發送，這種無線注入攻擊很恐怖，也很難防御。

2. 釣魚Wi-Fi

黑客喜歡在繁華商業區構建一個不加密的Wi-Fi，并把Wi-Fi的名字起為“CMCC”、“KFC”等眾所周知的熱點名稱，引誘網民“上鉤”。由于架設一個釣魚Wi-Fi毫不費力，黑客設置好Wi-Fi路由器和網絡共享后，就可以喝著咖啡守株待兔了。

3. ARP攻擊

ARP攻擊是局域網內一種非常古老的攻擊方式，黑客利用偽造的ARP廣播包建立合法的信任，達到截取偷聽的目的。黑客通過偽造IP地址和MAC地址實現APP欺騙，截取網絡數據。

4. 植入病毒程序

智能手機可以通過網絡安裝各種軟件和游戲，黑客通過Android市場把木馬病毒植入安裝軟件程序中，當消費者下載安裝后，就會中病毒，黑客再以此獲取用戶的信息。

5. 隱私泄露

免費公共Wi-Fi可促進實體店和消費者建立O2O營銷的通道，商家希望采集到一些商業數據，實現二次營銷。如果不拿消費者數據作為交易，這種情況是合法行為。但有些信息確實會泄露，比如手機MAC地址、手機型號、賬號名稱、APP軟件名稱等等。

如何降低安全風險

免費公共Wi-Fi的安全性是相對的，并且控制權在消費者自己手中，只要不亂下載、亂輸入、增強判斷合法熱點的常識，就可以避免很多不必要的麻煩。

常用軟件如微信、QQ、支付寶等采用橢圓曲線、雙向數字證書等非對稱強加密保護，相對是安全的。但APP軟件有成千上萬，亂裝APP就有可能導致感染病毒，有金融支付的安卓手機盡量不要安裝不明軟件，很多公共場合黑客釣魚Wi-Fi會誘導您去下載APP才能上網，千萬不能上當。

在公共場合，特別是使用網頁瀏覽器，不要隨意輸入自己的手機號、密碼等，容易被盜號。此外，關閉路由器的WPS、UPNP等不必要功能，也可以減少安全風險。

免費公共Wi-Fi接入只是通道的建立，和3G網絡一樣，通常只是相對安全，因為確實存在賬號和密碼被釣魚竊聽的風險，可能是黑客、智能路由器，也可能是商家等任何人。所以，免費公共Wi-Fi無論是否加密，其安全性都是一樣的，因為黑客也知道密碼。消費者只有在確定提供方準確的情況下，才能大膽使用免費公共Wi-Fi。

結 語

公共Wi-Fi的安全問題涉及多方面細節，比如釣魚網站、密碼泄露、惡意攻擊、設備漏洞、網絡傳輸、管理疏漏等等，一方面需要運營方和設備廠家提高設備安全性能，另一方面需要依賴法律的健全來保障消費者的信息安全。

免費的公共Wi-Fi日益普及，在帶給消費者便利的同時，也為消費者帶來了潛在的信息安全隱患。

（作者單位：上海市物聯網行業協會）