免费WiFi鱼龙混杂，无线WiFi极易被“山寨”，真假WiFi很难辨别真伪，用户很容易上当。调查发现，大部分网民对公共场所免费WiFi缺乏安全防范意识，从而让黑客有可乘之机。

3月15日晚间，央视315晚会上曝出公共场所免费WiFi存有安全隐患，并现场为观众演示了利用免费WiFi截获观众传输的照片及电子邮箱密码。专家指出，公共场所WiFi安全问题由来已久，该类WiFi安全措施较差，黑客可轻易“拿下”，并通过网络监听、密码攻击、会话劫持、脚本注入和后门植入等方式进行攻击。届时，不但可盗取连接该WiFi用户的照片和电子邮箱密码，同时，微博、微信、淘宝，甚至是网银的账号密码都有可能会被黑客截获。

国内八成WiFi 能被轻易破解

据《2015年中国WiFi安全绿皮书》显示，2014年国内的公共WiFi迎来了爆发式增长。截至目前，国内WiFi公共热点数量约为650万个，运营商WiFi热点超过520万个，商业公共WiFi热点约100万个，另有约20万政府公共WiFi热点，超过1亿个家用WiFi热点。

场所开始出现免费WiFi，使用者无需密码，即可使智能手机等移动终端连入当前网络。

信息安全专家、国际关系学院信息科技系副主任王标说，调查显示，目前大多数公共场所的免费WiFi普遍缺少安全防护措施，黑客能轻松通过WiFi给手机、电脑推送弹窗广告、木马病毒，还可能盗取QQ、微信账号密码、个人隐私信息等。

360此前调查显示，国内80%的WiFi能被轻易破解。这些被测试者的WiFi多使用了简单数字组合的弱密码，一般15分钟内即可被破解。而在全国约有3.3%的家庭WiFi密码使用低级加密方式，也就是说，有超过400万家用WiFi密码设置不安全，平均每天有约8.03%WiFi遭受DNS攻击。半年时间国内就有9.5%WiFi实际遭遇了蹭网侵害。按照全国约1亿台无线路由器的市场规模估算，被蹭网的WiFi数量高达950万个，而我国上网资费平均每年为1000元左右，带来的网费损失每年多达50亿元。

专家模拟黑客

3分钟获取用户信息

虽然你的QQ空间里私密相册设置了浏览权限，却还是被偷窥；你的微博不知不觉已经转载和发布了你并不知晓的议论和图片……当遭遇到这样的情况时，你的隐私已经被黑客一览无余了。

网络安全研究员刘彦硕向记者演示了黑客在公共WiFi条件之下，是如何窃取用户隐私的。

刘彦硕表示，“黑客和一个普通网民，联接的是同一个WiFi，然后普通网民在进行一个上网的操作，比如逛一些微博，上一下人人网、QQ空间，黑客可以监听同一个局域网内所有的流量，可以看出来他在做什么，也可以查看对方的隐私。”

刘彦硕向记者模拟了在公共场所中连接同一个WiFi上，用户遭遇黑客攻击的全过程。首先记者用笔记本电脑进行网页浏览，并登录QQ，打开了QQ空间。刘彦硕用手机也连上这个WiFi，打开黑客攻击软件后，记者的电脑IP地址被扫描发现。

“选择这个需要‘劫持’的这台设备，然后会话‘劫持’，再点击‘开始’，这个攻击软件就已经对对方的电脑进行一个‘劫持’攻击了。”刘彦硕边演示边介绍说。不到三分钟的时间，黑客软件成功检测到记者使用电脑所浏览网页的全部记录。刘彦硕点击软件中显示的QQ网站，居然可以不用输入任何的用户名和密码，直接进入记者的QQ空间。

在短短的3分钟时间内，刘彦硕就成功地利用黑客软件进行了微博以及QQ相册的劫持，而整个操作的过程，他使用的只是一部手机。

虚假WiFi钓鱼

当前主要安全风险

许多商家为招揽客户，会提供WiFi接入服务，客人发现WiFi热点，一般会找服务员索要连接密码。黑客就提供一个名字与商家类似的免费WiFi接入点，吸引网民接入。

济南市民李先生近日在车站附近蹭WiFi网时发现，手机网络中同时出现了几个WIFI热点,图方便的李先生懒得去问商家密码，就直接选择了一个WiFi，并且试着输入了“admin”，结果一下就通了，李先生暗自窃喜自己就是破解大师。没想到随之而来的麻烦，给李先生上了一课。他反映，手机中了恶意扣费病毒，随即数秒内卡内话费归零。“幸好我只有几十元的话费，否则就损失大了！”

腾讯手机管家安全专家给出了“虚假WiFi钓鱼”的解释，所谓虚假WiFi钓鱼，是指犯罪分子通过架设一个与某公共WiFi热点同名的WiFi网络，吸引用户通过移动设备接入该网络，然后就可以通过分析软件窃取这些接入虚假WiFi热点用户的资料，包括WiFi登录密码，从而成功破译。而且通过这一手段，还能窃取到用户的银行账户、网络支付账户密码，从而实施资金的盗刷。

一旦连接到黑客设定的WiFi热点，你上网的所有数据包，都会经过黑客设备转发，这些信息都可以被截留下来分析，一些没有加密的通信就可以直接被查看。于是，你在免费上网，就如同在互联网上裸奔。黑客可以知道你上网买了什么东西，在朋友图看了什么图片和视频，还可以冒用你的身份去发微博，查看你和朋友聊天的私信。

接入点被偷梁换柱

山寨WiFi防不胜防

除了伪装一个和正常WiFi接入点雷同的WiFi陷阱，攻击者还可以创建一个和正常WiFi名称完全一样的接入点，这被称为“山寨WiFi”。比如，你在喝咖啡，另一个人在你附近也在喝咖啡，由于咖啡厅的无线路由器信号覆盖不够稳定，你的手机会自动连接到攻击者创建的WiFi热点。在你完全没有察觉的情况下将掉落陷阱。

“搭建一个免费WiFi热点，技术上并不复杂。”瑞星公司安全专家唐威说，从理论上看，只需要一台电脑、一套无线路由器及从网上下载一个网络分析软件就可以截取用户数据。

唐威说，上免费WiFi的一个隐患就是可能落入黑客自行搭建的“黑网”。黑客通过搭建一个与公共WiFi很相近的名字，比如，模仿星巴克（Starbucks），搭建一个名为Starbucks01的WiFi热点，不用登录密码，诱使用户进入。用户在这种“黑网”操作时，传输的数据可被第三方监视，如果登录账户，黑客可以从数据包里查到用户登录信息，窃取个人邮箱、电子商务账号等信息。

此外，免费WiFi也给黑客植入钓鱼网站提供了便利。通过相关技术，黑客可以在用户浏览网站时植入一段HTML代码，使其自动跳转到钓鱼网站。如果此时登录银行、支付宝等进行电子商务交易，用户可能会有经济损失。

针对网络上盛传的运营商公共WiFi免费登录卡号和密码（如中国移动卡号：15821275836，密码：159258；卡号：15800449592，密码：159258）等信息，唐威表示，人们转载上述信息，其实并没有很好地去验证、甄别。实际上，这些所谓的免费账号不可信，有些根本不能用，此外，第三方软件发送的免费登录账号和密码存在很大的安全隐患，用户要尽量避免使用。

“蹭网”软件要慎用

否则得不偿失

目前在网络上流传一些可破解WiFi密码的“蹭网”软件。试想一下，如果有一款手机软件声称可以帮您“蹭网”，走到哪儿都有免费WiFi，相信很多人都会对这款软件产生极大的兴趣，更是迫不及待的下载使用。然而这样的“蹭网神器”真的安全吗？看似方便好用的背后难道没有隐患吗？

张姓业内人士告诉记者，“天下没有免费的午餐，蹭网软件背后的风险当然有！只是很多人不知道罢了。看似自己占了别人便宜，实际上真不一定。”

他表示，蹭网软件的原理其实是当你第一次安装并打开这个软件时，在引导页就会自动勾选分享热点，并自动备份，那么用户很可能就在不察觉的情况下选择同意将曾使用的WiFi密码分享到云端。这样当用户回到自己家中，连上自家WiFi的时候，密码就被自动共享出去了，也就是说你蹭了人家的网，同时把自家的网也贡献出去了。

其实，如果说单单是被人蹭网也就算了，更令人担心的是，连接WiFi上后会产生很多安全风险，例如预谋者对连在网络内的手机、电脑等设备进行监控，植入木马和病毒，窃取银行、支付宝等密码。丢了网又丢了财，真的是得不偿失，看来蹭网软件要慎用。