在北京、上海、广州的机场、火车站、旅游景点、商业中心等6万多个Wi-Fi信号中,有8.5%的Wi-Fi信号为钓鱼Wi-Fi。
日前,信息安全组织“雨袭团”发布了“中国一线城市Wi-Fi安全与潜在威胁调查研究报告”,报告显示在北京、上海、广州的机场、火车站、旅游景点、商业中心等6万多个Wi-Fi信号中,有8.5%的Wi-Fi信号为钓鱼Wi-Fi。
10月24日傍晚,澎湃新闻记者陪同“雨袭团”专家姚威在静安寺商圈实测,当场“逮住”一个仿冒上海公共Wi-Fi平台“i-Shanghai”的钓鱼Wi-Fi。专家进入这台Wi-Fi的路由器后发现,其中已经存储了大量盗取的个人信息。
钓鱼Wi-Fi上不了网,专门搜集用户信息
“最近媒体的公开报道,我们明显感觉到,一些钓鱼Wi-Fi为了‘避’风头已经关闭了,他们一般都非常敏感。” “雨袭团”专家姚威告诉澎湃新闻记者,很多钓鱼Wi-Fi都是流动的,或是放在车里,在热闹的位置来回兜;或是随身携带,携带者一旦看到一些疑似测试的情况,会选择迅速关闭设备。
姚威在静安公园靠近南京西路的位置,打开自己的笔记本电脑,接上一个带天线的白色小盒子,然后开始搜索。他介绍说,这个小盒子是Wi-Fi信号采集器。不一会儿,他就搜索到26个Wi-Fi信号,其中有相当一部分来自附近的商家,除去这些设置密码的信号外,有12个Wi-Fi信号没有密码,可以随意登录。姚威扫了一眼,就感觉其中有五六个信号比较可疑。但是还没等他开始测试,其中的一些信号就开始消失。“不要围着我,他们一定是发现我了。”姚威说,这种情况他之前在做调查报告时也曾经遇到过,所以后来大多数的测试是躲在车里进行的。
“测到一个了。”避开人群的姚威经过一番调试,成功连上一个名叫“i-ShangHai”的Wi-Fi,与正常的“i-Shanghai”不同的是,这个信号名称里的H也是大写的。连上这个Wi-Fi后,输入任意网页都会跳转到一个橙色的登录界面,乍一看有中国电信的标志和落款,粗心的人看不出异常。但是在登录界面,与正常的填入手机号收到验证码不同,这里需要填写身份证号码、手机号、选择线路、姓名。姚威随便输入一组数据,显示“验证失败”。在验证页面下方还有“QQ登录”,在输入QQ账号、密码后,弹出一个页面“当前API无法进行验证,请联系管理员”。姚威解释说,这个钓鱼Wi-Fi是上不了网的,目的是搜集用户的身份证号码、手机号,或者QQ账号、密码,前者可以当做个人信息售卖,后者就可以出售给黑客。
专家建议:尽量不使用公共Wi-Fi
随后,姚威运用黑客技术,成功进入了这台钓鱼Wi-Fi的服务器,里面存储了密密麻麻的身份证号等个人信息“可以看得出,有些人有点警惕性,是乱填的,但也有相当一部分人是填写了真实的个人信息。”姚威表示,只要连上这样的Wi-Fi,用户在浏览器上输入的所有数据都会经过对方的路由器,并被自动保存。
姚威拿出一个白色的3G路由器,告诉澎湃新闻记者,钓鱼Wi-Fi使用的就是这种设备,成本低的只有几十元,自带电源和存储设备,调试完毕后只要放置人流密集处,就可以自动以钓鱼的方式盗取个人信息。“这个钓鱼Wi-Fi信号有点飘,它可能在一辆车上。”姚威判断。在北京王府井检测时,姚威甚至发现有个人把钓鱼Wi-Fi的路由器放在连帽衫的帽子里。“知道我是怎么发现的?他的天线露出来了。”
而对于“i-Shanghai”这样覆盖面大的公共Wi-Fi平台被仿冒,姚威坦言危险非常大,因为大多数人对它没有警惕性,会很放心地输入个人信息。另一种危害较大的寄生虫Wi-Fi热点,它本身没有网络,只是一个中转站,是靠寄生在一个正常的Wi-Fi网络上,用户最终还是经由它转到正常的网络上网,因此从IP地址看是一个正常的网络,一般的安全软件都没办法识别。姚威表示,无论哪种有问题的Wi-Fi,普通用户都只能看到Wi-Fi名字,无法辨别,所以他只能建议大家能不使用公共Wi-Fi就不使用,即使不得不使用,也不要进行登录类,支付类操作。同时,他建议像“i-Shanghai”这样的公共平台,可以向信息安全机构公开设备地址,方便安全软件识别将其设置为白名单。
姚威透露,通过前期调查,已经掌握了一部分钓鱼Wi-Fi的详细信息,他们也将跟有关部门协作,将这部分信息提供给网安部门进行调查。