文/解运洲

如何吃好“免费的午餐”

文/解运洲

互联网思维告诉我们：免费的背后是巨大的利益。正规的商家用适量的“免费”来吸引消费者，不法分子则用“免费”来做“鱼饵”，盗取消费者信息。抛去这句话的商业动力，仅从消费者的角度来看，免费Wi-Fi是普通网民高速上网、节省流量资费的重要方式，目前虽然面临一些安全陷阱，但只要我们预先做好防范措施，“免费的午餐”还是可以愉快享用的。

初次使用一个陌生免费公共Wi-Fi时，需判断哪个是真正的商家Wi-Fi热点，不能确定时，一定要咨询商家。经常有一些“李鬼”冒充“李逵”，比如“CMCC 1”、“CMCC FREE”等极具迷惑性。同时，正规的Wi-Fi热点是需要提供连接信息确认的，比如输入手机号码、邮箱等，并输入收到的确认信息后进行Wi-Fi连接。如果不需要提供任何信息确认，则一定要慎重；如果需要输入一连串个人信息的，也一定要及时停止接入，因为这些都有可能对你造成经济损失。

两种接入方式的选择

目前公共Wi-Fi接入方式主要分为两种：

第一种是商家自建的免费公共Wi-Fi，输入密码即可进入网络。所有人通过同一个密码进入网络，或者不输入密码也可进入。这种方式容易给黑客入侵留下机会，就好比把钥匙交给所有人，大家进入同一扇大门，很不安全（如图1）。

第二种是运营商的公共Wi-Fi接入，包括三大运营商和网络虚拟运营商，大多采用“WEB页面认证”的方式，支持HTTPS加密协议。每个人对应唯一的用户名和密码，用户在这个网页里填写的信息，都被送到终端去解密、认证。所有用户的IP地址都是由核心路由器分配的（如图2）。

图1

图2

在运营商的网络中，黑客无法通过截取用户的IP地址窃听广播数据包。即便黑客知道这个IP地址，自己去设一个IP也无法访问。每一个用户IP和远程终端都是一一对应的，只有经过核心路由器分配的地址才能访问网络。同时，核心路由器还会实时监测用户是否在线，如果用户不在线上，会及时收回网络资源，关闭通道，保障用户安全。

根据公安部的相关规定，免费公共Wi-Fi必须进行认证，而目前常用的认证方式包括：手机号码验证、微信验证和微博验证。虽然给合法消费者增加了接入的麻烦，但同时也提高了不法分子的违法成本。

黑客惯用的手段

大多数黑客是以窃听密码为主，因破解密码很难。一般说来，移动终端上大公司的APP软件都是严格加密的，不能窃听密码，但账号可能会被窃听。另外，网页登录时会有非常严重的密码泄露风险！通常不法分子惯用的破坏手段包括：

1. 域名劫持

消费者输入正确的网址，跳出的网页却是与之相似度极高的山寨钓鱼网站。黑客通过无线路由器的管理后台，对域名系统进行修改。当消费者输入网址时，服务器直接把IP跳到黑客设置的钓鱼网站。黑客直接在空中拦截数据，并伪造假数据发送，这种无线注入攻击很恐怖，也很难防御。

2. 钓鱼Wi-Fi

黑客喜欢在繁华商业区构建一个不加密的Wi-Fi，并把Wi-Fi的名字起为“CMCC”、“KFC”等众所周知的热点名称，引诱网民“上钩”。由于架设一个钓鱼Wi-Fi毫不费力，黑客设置好Wi-Fi路由器和网络共享后，就可以喝着咖啡守株待兔了。

3. ARP攻击

ARP攻击是局域网内一种非常古老的攻击方式，黑客利用伪造的ARP广播包建立合法的信任，达到截取偷听的目的。黑客通过伪造IP地址和MAC地址实现APP欺骗，截取网络数据。

4. 植入病毒程序

智能手机可以通过网络安装各种软件和游戏，黑客通过Android市场把木马病毒植入安装软件程序中，当消费者下载安装后，就会中病毒，黑客再以此获取用户的信息。

5. 隐私泄露

免费公共Wi-Fi可促进实体店和消费者建立O2O营销的通道，商家希望采集到一些商业数据，实现二次营销。如果不拿消费者数据作为交易，这种情况是合法行为。但有些信息确实会泄露，比如手机MAC地址、手机型号、账号名称、APP软件名称等等。

如何降低安全风险

免费公共Wi-Fi的安全性是相对的，并且控制权在消费者自己手中，只要不乱下载、乱输入、增强判断合法热点的常识，就可以避免很多不必要的麻烦。

常用软件如微信、QQ、支付宝等采用椭圆曲线、双向数字证书等非对称强加密保护，相对是安全的。但APP软件有成千上万，乱装APP就有可能导致感染病毒，有金融支付的安卓手机尽量不要安装不明软件，很多公共场合黑客钓鱼Wi-Fi会诱导您去下载APP才能上网，千万不能上当。

在公共场合，特别是使用网页浏览器，不要随意输入自己的手机号、密码等，容易被盗号。此外，关闭路由器的WPS、UPNP等不必要功能，也可以减少安全风险。

免费公共Wi-Fi接入只是通道的建立，和3G网络一样，通常只是相对安全，因为确实存在账号和密码被钓鱼窃听的风险，可能是黑客、智能路由器，也可能是商家等任何人。所以，免费公共Wi-Fi无论是否加密，其安全性都是一样的，因为黑客也知道密码。消费者只有在确定提供方准确的情况下，才能大胆使用免费公共Wi-Fi。

结 语

公共Wi-Fi的安全问题涉及多方面细节，比如钓鱼网站、密码泄露、恶意攻击、设备漏洞、网络传输、管理疏漏等等，一方面需要运营方和设备厂家提高设备安全性能，另一方面需要依赖法律的健全来保障消费者的信息安全。

免费的公共Wi-Fi日益普及，在带给消费者便利的同时，也为消费者带来了潜在的信息安全隐患。

（作者单位：上海市物联网行业协会）