从理论上讲,人们都普遍认同”天下没有免费的午餐”,但在实际生活中,有些人则选择性地遗忘这句至理名言,更倾向于另一句谚语”搭顺风车”。就目前的情况来看,人们在不遗余力搜寻服务提供商所提供的”搭顺风车”机会的同时,无意中也将自己的私人数据(例如:社交网络登录凭证)与第三方共享。
有大量的现实案例可以证明你不应该受到”免费午餐”的诱惑。在这里我们不得不提到最近在俄罗斯发生的一起事件,有一家总部位于圣彼得堡的俄罗斯公司通过智能Wi-Fi为咖啡馆提供免费WiFi热点。一些有识之士设法录制了客户登入智能Wi-Fi网络方法的视频,并将这些视频放到了YouTube上。
读者们可以从刊登在Siliconrus.com网站上的这篇文章中了解详细内容(用俄语写的,能用在线翻译器翻译),在这里我们将解释一下这一技术:当客户连接到智能Wi-Fi网络时,提示需要通过其社交网络账户配置文件获得授权。在这个案例中,使用的账号来自于俄罗斯最流行的社交网络VKontakte。
然而,用户并非是在vk.com网页上输入账号和密码,而是通过非加密通讯直接在智能Wi-Fi网站上输入,而这却是最不安全的登入网站的方式。
“免费”#WiFi换来的代价是你的社交网络账号#密码遭泄
Tweet
因此用户一旦用自己的VK配置文件登入,vk.com网站的登录密码也将一并提供给智能Wi-Fi提供商,同时隐藏在附近的网络犯罪分子都能通过笔记本电脑窥探到。
就智能Wi-Fi本身而言,有一篇文章 –以及上述所提到的视频–可以证明该服务提供商保存了用户登录凭证,并将其用于两个目的:其一,在VK.com网站的客户网页上发布广告;其二,凭借大量的权限在vk.com网站上的用户配置文件安装应用程序,包括:访问各种个人数据以及代用户发布更新内容。
就第一种情况而言,用户会被警告有广告发布到他们的’墙’上,而第二种情况下就算安装了应用程序也不会有任何提示或警告。要想找到这些被偷偷安装的应用程序,用户不得不查看他们的Vkontakte应用程序列表。不言而喻,几乎很少有用户会定期检查这些内容。
Why #phishing works and how to avoid it – https://t.co/ksAYI9g2Jm #security #cybercrime
— Kaspersky (@kaspersky) October 1, 2014
假冒网页模仿社交网络登陆页面或网银工具的情况也时有发生。事实上,这正是广泛存在的网络骗局’网络钓鱼’的基础。该技术将虚假网页乔装打扮成官网,诱使用户输入登录凭证。一旦得手后,即将其运用于各种网络犯罪活动–例如,未经用户允许访问私人数据。
其中真正让人感兴趣的是服务提供商这种极度存在争议的做法。服务提供商在设计这一行动计划时是否故意为之,这一点我们依然无法确定,但即便不是用户仍将处于数据被盗的威胁之下。
7 steps to avoid phishing attacks on your #Facebook https://t.co/iZx5uBNxxI pic.twitter.com/998A40iCnN
— Eugene Kaspersky (@e_kaspersky) April 3, 2015
与所有传统意义上的网络钓鱼案例类似的是,我们有一个行之有效的解决方案:预防与警惕。我们一如既往地建议用户要注意官网的URL网址,一旦发现URL网址与你原本认为的网址有出入的话,千万不要输入用户登录凭证。还需要注意的是,所有社交网络网站和网银服务都已采用了更加安全的且对通讯进行加密的HTTPS协议,因此我们强烈建议不要在任何网页头上没有”锁”图标的网页上输入密码。
我们应该注意到最新的卡巴斯基安全软件能够检测到此类不安全的WiFi网络,并警告用户不要连接这样的热点。