用公共WiFi上網(wǎng)會被盜取銀行密碼？

(南方都市

　　新知錄

　　流言終結(jié)者

　　【流言】近日有黑客自曝：在星巴克、麥當(dāng)勞這些提供免費(fèi)WiFi的公共場合，用一臺Win7系統(tǒng)電腦、一套無線網(wǎng)絡(luò)及一個網(wǎng)絡(luò)包分析軟件，15分鐘就可以竊取手機(jī)上網(wǎng)用戶的個人信息和密碼，比如網(wǎng)銀、支付寶密碼。

　　【真相】其實，無論你使用電腦、iPad，還是手機(jī)，只要通過W iFi上網(wǎng)，數(shù)據(jù)都有可能被控制這部W iFi設(shè)備的黑客電腦截獲到，其實也未必一定是W in7系統(tǒng)，信息是有可能被竊取的，當(dāng)然包括未經(jīng)加密處理的用戶名和密碼信息。但是，無論什么系統(tǒng)的電腦，架設(shè)了多么高級的W iFi熱點，黑客都無法在用戶正確操作下獲取網(wǎng)銀和支付寶密碼，更不要說盜竊其中的錢了。

　　手機(jī)銀行一定要有特殊認(rèn)證方式

　　用戶可通過手機(jī)上的專門客戶端程序，通過W A P方式與銀行系統(tǒng)建立連接。手機(jī)銀行的賬戶信息是經(jīng)過靜態(tài)加密處理的，而且與手機(jī)綁定，假使他人盜取了你的賬戶信息，但其它手機(jī)上也無法操作。不過筆者經(jīng)與工行客服核實，他們稱現(xiàn)在為了方便用戶，允許非指定手機(jī)操作手機(jī)銀行賬戶了，但允許操作的資金額度很低。

　　最重要的是，手機(jī)銀行還有認(rèn)證手段。輸入正確的賬號和密碼，當(dāng)進(jìn)行涉及到賬戶資金變動的操作時，手機(jī)銀行會提示輸入特定的電子口令，而電子口令卡就是一種有效的認(rèn)證手段。不同的銀行可能會采用不同的認(rèn)證方法，比如建行就是通過綁定手機(jī)發(fā)送手機(jī)驗證碼，但都起到了類似的作用。

　　很少有人用手機(jī)操作個人網(wǎng)銀

　　個人網(wǎng)上銀行會采用https的加密協(xié)議來保障交易安全，結(jié)尾比你常見的http多了個s。在電腦上輸入個人網(wǎng)上銀行地址，當(dāng)跳轉(zhuǎn)到賬戶信息輸入頁面時，網(wǎng)址欄就由http變?yōu)閔ttps，在最后面還多了一只小掛鎖，這寓示著通過這個頁面輸入并傳送的數(shù)據(jù)，會被128位的加密算法進(jìn)行加密，只有銀行方面才能正確解密，即使這些加密數(shù)據(jù)被黑客全部拿到，也毫無用途。

　　用過個人網(wǎng)上銀行的網(wǎng)友都會知道，使用前必須安裝銀行提供的安全控件，否則賬戶信息欄是灰色的，根本無法輸入任何信息。而手機(jī)的系統(tǒng)無論是蘋果、安卓，還是塞班，統(tǒng)統(tǒng)都不支持這個控件，根本就安裝不了，賬號自然無法輸入，被盜取更是毫無可能。

　　有些高水平玩家會在手機(jī)上裝虛擬機(jī)，這時手機(jī)就已可看作是個簡版電腦了，自然也要跟使用普通電腦一樣，通過https這種安全協(xié)議與個人網(wǎng)上銀行進(jìn)行數(shù)據(jù)交換。

　　公共WiFi確實為釣魚網(wǎng)提供便利

　　不少賬戶被盜的案例其實是因為訪問了釣魚網(wǎng)站。他們偽裝成正規(guī)的銀行頁面或是支付頁面，騙取你輸入的賬戶名和密碼，而這未必一定需要通過W iFi熱點這種方式來實現(xiàn)，任何上網(wǎng)的方式都有可能上當(dāng)。不過，公共的W iFi確實提供了植入釣魚網(wǎng)站的潛力，利用A R P欺騙，可以在用戶瀏覽網(wǎng)站時植入一段H T M L代碼，使其自動跳轉(zhuǎn)到釣魚網(wǎng)站。從這個角度說，公共W iFi網(wǎng)絡(luò)為用戶提供了一個便利的釣魚環(huán)境。

　　避免被釣一方面需要對別人發(fā)來的網(wǎng)絡(luò)地址多留心，因為這個地址可能非常接近如淘寶、網(wǎng)上銀行的域名地址，打開的頁面也幾乎和真實的節(jié)目完全一致，但是實際你進(jìn)入的是一個偽裝的釣魚網(wǎng)站；另一方面，盡量選擇具有安全認(rèn)證功能的瀏覽器，這些瀏覽器能夠自動提示你打開的頁面是否安全，避免進(jìn)入釣魚網(wǎng)站。對于智能手機(jī)用戶，在下載和交易有關(guān)的客戶端軟件時盡量選擇官方渠道下載，不要安裝來路不明的客戶端。

　　供稿：果殼網(wǎng) 奧卡姆剃刀