请问在台湾的公共Wi-Fi
像cht Wi-Fi ,wifly, 或是FET Wi-Fi 等需要付费
要输入帐密的wifi服务也会有资安的疑虑吗?
小弟有时候也会使用上述wifi进行网银操作
看了一下似乎蛮可怕的
还是乖乖的使用行动数据上网比较安全?
※ 引述《ReDmango (10K高清天才小钓手)》之铭言:
: ※ [本文转录自 Gossiping 看板 #1QZ0hLmb ]
: 作者: ReDmango (10K高清) 看板: Gossiping
: 标题: Re: [新闻] 才连中国公共WiFi几分钟 他2.8万存款不翼
: 时间: Tue Feb 20 19:47:30 2018
: Wifi Phishing这东西应该也快20年了,
: 但是到2018年的今天,大家还是很喜欢用公共免费Wifi呵呵。
: 本篇介绍资安基础中的基础,尽量将名词翻译成一般人可以听懂的。
: Wifi Phishing大致上分成三种:
: 一、假造热点,提供互联网。
: 二、假造热点,不提供互联网。
: 三、攻击热点,直接撷取资料。
: 给大家一个简单的基本概念:
: 只要掌控封包,
: 使用者所有未加密的资讯都将会开诚布公,
: 一五一十的出现在你面前。
: (像PTT默认就是明码传输,你的WIFI提供者可以直接看到妳的帐号密码)
: 明码传输连一点技术门槛都没有,连破解都不用破解。
: 而已加密的资讯,目前使用SSL2.0的服务器也几乎都有办法破解,
: 只是运算的时间问题。
: 一、假造热点,提供互联网。
: 透过伪装的热点名称,让终端使用者连入,
: 你就可以掌控使用者传送的所有封包。
: 也可以透过DNS Forwarding,造假使用者想要连接的网页。
: 现在我们来假设终端使用者的装置,想要连线上Gmail.com,
: 其实是连接到127.0.0.1/hack-gmail。(假设)
: 127.0.0.1是你自己的电脑,
: hack-gmail是当使用者连线上Gmail.com时所实际开启的网页,
: 此时使用者装置认为的Gmail.com就是你的电脑的这个网页。
: 现在使用者透过他的装置开启的Gmail.com已经被你所掌控,
: 他只要一输入帐号密码,其实是写到你自己建立的数据库中,
: 你再捞出这个帐密,到真的Gmail.com填入,再把画面腾给使用者,
: 终端使用者并不会感受到任何差异,他最终打开的依然是他的Gmail信箱,
: 信也都是他的,也可以正常收信、寄信或者执行任何动作。
: 任何的网站皆可以如此做,只是复杂度与时间性的问题。
: 如果今天伪装了一个网络银行的页面,让你输入了登入验证资讯,
: 你的网络银行立刻门户大开。
: 伪装网站只是最常见的一件攻击方式,
: 可以很简单,也可以很难。
: 除此外还有无数种可以获取使用者资料的模式。
: 而拿到使用者的帐号密码后,基本上网络上所有的服务你都可以登入,
: 因为大多数的使用者在所有的服务上,都使用完全相同的帐号密码。
: 二、假造热点,不提供互联网。
: 呈上点,你已经知道了最常见的造假网站。
: 造假网站最难的技术门槛是,要把使用者导回真正的网站,
: 那我们干脆不要把使用者导回真正的网站如何?
: 这样就简单多了,技术门槛直接大幅下降。
: 你会问:“不转回真正的网站,那使用者不就知道网络被骇了?”
: 对阿,到这里你就该知道有问题了,但是有九成九的人,都不会觉得异常。
: 这次以Facebook来举例。
: 比较初阶的模式,只做登入页面,使用者登入后,就一片空白没有下一步了。
: 进阶一点,我们可以做一个“帐号密码输入错误”的提醒页面。
: 唉,既然都已经做了输入错误的页面,那干脆这边也写入数据库好了吧,
: 使用者会因为帐号密码显示错误,不停地尝试各种自己用过的帐号密码。
: 你输入的每一个帐号密码,我都记录在数据库里了,
: 那么以后我只要用这些帐号密码去试你别的服务,总有一个会中。
: 既然输入错误的页面都已经做了,
: 那干脆做一个忘记密码的页面吧。
: 于是又做了一个忘记密码的页面,
: 使用者输入的信箱、安全验证问题(你小学老师或你家狗叫啥等等),
: 也全都记录在数据库中。
: 然后你再去信箱收信,可是信箱也是被假造的网站,
: 于是你发现原本要登Facebook登不进,现在连信箱都登不进了。
: 也就是有心人目前已经得知了你的Facebook帐号密码,
: 也知道了你的安全验证问题,也知道了你收验证信用的Gmail信箱帐号密码。
: 喔对了,那干脆再做一个,
: 你的帐号异常遭锁定,需要提交Facebook身分证件页面好了,
: 于是乎你的身分证件也被你拍下来上传给我了。
: 现在的终端使用者大部分都会记忆连过的热点名称,
: 连接到伪装过的公共WIFI后,进入假的Captive Portal认证登入页面,
: 使用者输入帐号密码,就提供给他互联网。
: 在很多不安全的Captive Portal页面,“记住我”是一件非常可怕的事情,
: 透过Cookie或装置其他方式自动化的输入或登入,
: 让使用者没有可以察觉网页异常的时间,
: 便自动将帐号密码直接送给他人。
: 而又回到刚刚讲过的多数人所有帐密都一样的问题上,
: 知道了你的网络认证密码,基本上其他的也都拿到了。
: 一直以来iTaiwan都有这个问题,我在多年前也反映给国发会过,
: 只要很简单的改进方式就可以改善,结果数年来一直都没改,
: 一直到去年底我发现终于iTaiwan在cookie中加上了认证的标签。
: 好,讲了那么多,其实上面讲的都是最易懂的钓鱼方式,
: 结论就是,当你别人WiFi的那一刻,你基本上就已经在裸奔了。
: (当然用自己的也可能就是了拉)
: #基本上会用公共WiFi跟抗拒行动支付是同一群人