美国联邦调查局(FBI)早前透过社交媒体提醒民众,应避免使用提供充电线缆的公共充电站,防被有心人士植入恶意软体。
但公共场所的资讯安全问题层出不穷,除了公共充电站,公共免费Wi-Fi实际上也隐藏着风险,民众很可能不小心连到骇客设置的伪公共Wi-Fi连线,让后者有机会随时连上开放网络,掌握使用者上网行为,盗取信用卡及账号密码等。
随着“充电劫持”(Juice Jacking)在美国购物中心、酒店,以及机场造成的网络攻击风险愈来愈高,联邦调查局建议民众完全避免使用公共充电站;“充电座盗取数据”是通过在USB充电端口的病毒软件,侵入受害者手机的一种网络攻击方式。
不过,瑞士资安技术公司Acronis全球研究副总维斯特(Candid Wuest)认为,比起公共充电站,伪公共Wi-Fi会造成的网络风险更大。
“智慧手机遇上充电劫持的几率往往比遇上伪公共Wi-Fi小很多,换句话说,充电劫持并不容易进入用户的手机中(除非使用公共充电站),但是伪公共Wi-Fi却到处都有。”
伪造网页以假乱真
如果用户连上了伪公共Wi-Fi,那么它可能会泄漏用户的未加密服务或偷走网络凭证,虽然大多应用程式都使用安全传输层协议(TLS)加密,但这样的情况仍有可能发生。
维斯特指出,有时候伪公共Wi-Fi可能仅是会让陌生人窥探到你正在浏览的内容,虽然造成的威胁性不大,但这依旧是一件很烦人的事。
不过,他也警告,用户有时候使用公共Wi-Fi,但电子设备没有加以防护,那么有些人也是可以趁机直接攻击该设备。
骇客一般会透过“邪恶双胞胎”(Evil Twin)进行网络攻击,即伪造Wi-Fi名字来骗民众连接网络,或者也会拦截你发送的各种讯息,或是让你连入假网页。
这些伪造的网页,能够以假乱真,外观或页面就像真正的社交媒体、网络银行、电子信箱、电讯业者首页等,一旦你输入账号密码,就会遭盗用。
建立醒觉意识
其实伪公共Wi-Fi攻击与充电劫持一样,都很容易预防,但使用者必须要建立一些资安醒觉,也需要做一些使用习惯上的改变。
1. 使用有密码保护的Wi-Fi热点
确保自己正在使用需要密码才能上网的安全网络,这些网络会要求用户在连网前,同意法律条款、注册账户并输入密码。
2. 不要上网购物
当你连上公共Wi-Fi进行网络购物时,你输入的账号密码与信用卡讯息,很可能会遭到连上同一个热点的骇客所窃取。
3. 避免检查银行账户
在使用公共Wi-Fi时,应避免登入任何金融网站或应用程式。
4. 别登录“http”开头的网站
网络上常见的“http”和“https”开头的网址,其差别在于“https”开头的网站会利用加密程序来确保传输资料获得加密保护,相对来说较为安全。如果网址栏有“挂锁”图示,也是代表传输资料获得加密。
5. 小心看管手机与电脑
一些骇客会从你的背后偷窥,试图窥探你的个人讯息。但是,解决方法也很简单,就是在输入密码时,简单遮掩一下键盘或手机萤幕,就可以挡住“视觉骇客”的视线。
6. 不要打开蓝牙
蓝牙允许各种设备相互通讯,骇客可以藉由蓝牙讯号,连上你的设备。养成习惯,只要不在家里或办公室等安全的环境时,请将蓝芽功能关闭。
7. Wi-Fi不要设定成自动连线
若设定为自动连线,可能在你不知道的情况下连上网络,如果不使用网络时,最好把Wi-Fi关掉,以免让有心人士有更多机会侵入你的电脑或手机。
8. 使用VPN服务
使用虚拟私人网络(VPN)是大部分资安专家推荐来加强网络安全的作法。因为VPN不仅提供安全加密的连线通道,甚至部分还能防止用户下载恶意程式,并提供过滤钓鱼网站的功能。
