黑客自曝釣魚全程：在星巴克WiFi上網當心遭暗算

在星巴克、麥當勞等公共場所邊點杯熱飲邊“蹭網”，是不少消費者用手機網上沖浪的便利選擇。不過，這些免費的 Wifi 中，可能隱藏著“黑網”。近日，有黑客在網上自曝“釣魚”全程，只要一臺筆記本、一套無線網絡和相關軟件，就能搭起一個欺騙性 Wifi，并從中竊取上鉤者的用戶名和密碼。安全技術人員承認該方法的確行得通，提醒消費者選擇 Wifi 時最好先和店員確認，以免被騙。

冒充星巴克 Wifi“請君入甕”

隨著近日各大網站的泄密門事件頻出，手機上網的安全也引發各方重視。近日在天涯論壇，一名自稱業余黑客者表示自己通過試驗，發現手機移動瀏覽器的破綻可輕易攻破，別人的用戶名密碼也能手到擒來，令大批網民嘩然。 “畢竟每個月上微博、查郵件、查淘寶、京東賬單等等全部在手機上搞定，不驗證一下不踏實。”發帖者稱。

帖子稱，在星巴克、麥當勞等通常有無線熱點的公共場所，只要一臺 Win7 系統電腦、一套無線網絡及一個網絡包分析軟件，設置一個無線熱點 AP，就能輕松搭建出一個“李鬼”Wifi 網絡。為了讓更多的手機用戶被欺騙連接到該熱點，Wifi 被直接命名為 Starbucks 2，且不設密碼，可以輕松接入。

“星巴克的客戶一般會拿出手機上網，這時會同時搜索到星巴克官方 Wifi 和假的 Starbucks 2 熱點，因為后者不需要密碼，很多用戶會首先連接該熱點。”該黑客說，這樣很容易吸引 “小魚進網”，進而偷窺其隱私。

誤上“李鬼”網絡或損失慘重

昨天下午，記者分別走訪了南京路步行街附近的兩家星巴克和 Wagas 咖啡，店內工作人員表示，其官方 Wifi 的確需要從店員或是通過中國移動的 WLAN 獲取密碼才能登陸。 “不過，如果客人在店內自行搭建其他 Wifi 網絡，我們也無權干涉，畢竟很多筆記本電腦都能直接共享網絡。”星巴克店員無奈地表示。

一旦消費者入網，只要通過用戶名和密碼訪問網站，黑客便有可能竊取其隱私信息。該黑客以 UC 瀏覽器為例，手機用戶如果使用了默認 UCWeb 設置，即打開云端加速，那么 https 網站的信息便能輕易被竊取到。有網友回復，如果網銀、支付寶的密碼都能這樣被竊取，那賬戶內資金無疑就成了板上魚肉任人宰割。

究竟事實是否真如傳言般這么可怕？國內某知名安全機構的一位工程師表示，上述陷阱的確有可能奏效。 “一般用電腦登陸網銀、支付寶時，會自動跳轉到 https 的加密網址進行操作。但 UC 瀏覽器為了提高訪問速度，存在直接將請求協議截留、轉至其自身數據庫進行中轉處理的情況，導致原先加密的密碼變成明文發送，幫黑客省去了破解工序。 ”該工程師表示。

UC 瀏覽器稱遭人抹黑

對于上述情況，UC 方面昨天向媒體發來聲明，否認有相關漏洞，稱公司迅速按照文章內容進行驗證，文章所指情況完全無法復現，因此他們認為這是競爭對手刻意抹黑。不過 UC 也坦言，如果用戶在公共場所連接任何不安全的釣魚 Wifi，無論手機還是計算機的任何應用都可能是不安全的，建議用戶特別留心。

不過，業界知名的烏云漏洞平臺昨天通過微博表示，雖然 “你還敢用 UC 上網嗎”的帖子有點夸大，但 UC 設計的確存在缺陷，會將本來網絡加密的信息明文提交到自己服務器。當前無線安全值得關注，特別是這種釣魚 Wifi 存在極大風險。

受訪工程師支招稱，如果用戶在咖啡廳里迫切需要上網，可以通過網銀、支付寶等的手機 APP 客戶端進行訪問，這樣比用瀏覽器訪問的安全性大得多。