2015中國WiFi安全綠皮書

　　360手機安全中心

　　第一章國內公共及家用WiFi使用概況

　　2014年，中國的公共WiFi迎來了爆發式增長。截止目前為止，國內WiFi公共熱點數量約為650萬個，運營商WiFi超過520萬，商業公共WiFi約100萬，另有約20萬政府公共WiFi，超過1億個家用WiFi。人們對無線上網需求持續漲高，也使越來越多如餐館、咖啡館等公共場所開始出現免費WiFi，使用者無需密碼，即可使智能手機等移動終端連入當前網絡。

　　但由此引發的網銀賬號被盜、個人信息泄露等案件也成逐年上漲趨勢。據360一項全國調查顯示，國內80%的WiFi能被輕易破解，這些被測試者的WiFi多使用了簡單數字組合的弱密碼，一般可在15分鐘內破解成功。

　　而在全國超過1億個家用WiFi中，約有3.3%的WiFi密碼使用低級加密方式，也就是說，有超過400萬家用WiFi密碼設置不安全。平均每天有約3.06%的WiFi會遭遇DNS劫持攻擊，4.97%的WiFi會遭遇ARP攻擊。半年時間國內就有9.5%WiFi實際遭遇了蹭網侵害。按照全國約1億臺無線路由器的市場規模估算，被蹭網的WiFi數量高達950萬個，而我國上網資費平均每年為1000元左右，帶來的網費損失每年多達50億元。

　　圖一：國內WiFi使用概況

　　使用WiFi上網，DNS服務器是其上網過程中的一項重要環節。但DNS時常會被黑客惡意篡改，一旦使用被篡改的惡意DNS服務器訪問網站，用戶很有可能被劫持至釣魚網站，最終導致通過登陸網頁，賬號密碼等個人隱私信息被盜。目前，DNS被惡意篡改已經成為全球網絡安全的最大隱患，波及范圍也越來越廣。

　　據360手機中心調查數據顯示，在全球范圍內，惡意DNS服務器分布中，韓國以24.82%居首，中國香港、美國分別以20.37%、18.08%位列第二位、第三位，此后依次為日本12.18%、中國廣東8.96%、中國浙江6.28%，其他9.31%。從數據中看出，國內受惡意DNS影響較大。

　　圖二：惡意DNS服務器地區分布

　　而從風險WiFi占比最高的國內Top10城市中，北京以3.82%占比位居首位，深圳、廣州以3.69%、3.04%位列第二、第三位，上海2.78%，之后依次為重慶2.69%、東莞2.11%、成都1.98%、西安1.54%、鄭州1.47%以及南京1.39%。

　　圖三：風險WiFi占比最高的國內城市Top10

　　第二章公共WiFi存安全隱患

　　目前我們使用的公共WiFi主要有三大安全隱患：

　　第一、在未知的網絡環境中，可能存在嗅探者，將我們的上網賬號、密碼等信息拿走；

　　第二、在未知的網絡環境中，可能存在ARP攻擊（中間人攻擊），導致文件、照片等私密數據被竊取；

　　第三、在未知的網絡環境中，可能存在惡意DNS，迫使上網者連接釣魚網站，網銀被盜刷等。

　　1、公共WiFi易被輕易攻破：7歲女孩11分鐘內入侵公共網絡

　　在一項調查中發現，黑客可以讓咖啡廳的顧客在不知情的情況下，將顧客使用的合法WiFi變成假WiFi，通過這樣的方式來竊取用戶電話、電子郵件賬號及密碼等信息，進而盜取銀行賬戶。

　　為了顯示公共WiFi的危險性，一家VPN供應商雇傭了英國一位7歲小女孩來攻擊公共網絡。女孩在網上搜索、觀看一個免費視頻教程后，僅用了10分鐘54秒便成功入侵一個WiFi熱點。而像這樣詳細介紹如何破解網絡的視頻，在谷歌能搜出一千一百萬個結果。

　　此外，在國內使用“蹭網神器”分享的WiFi熱點也可能不安全。上海楊浦警方曾破獲一起非法獲取計算機信息系統數據案，一家科技公司開發的免費WiFi熱點軟件數據庫遭到黑客攻擊，一周內150萬條WiFi密碼被盜取。

　　2、超五成用戶并不擔心WiFi安全

　　WiFi雖然已經成為如今人們上網的主要方式，但享受WiFi帶來便利的同時，人們很少關注WiFi上網安全的問題。因此而引起的WiFi釣魚、掛馬盜取賬號、竊取隱私甚至盜用用戶銀行卡存款的行為時有發生。

　　一項調查報告顯示，在Android聯網用戶中有49.75%的人會使用WiFi聯網。這其中86.03%的用戶喜愛用WiFi上網聊天，有67.23%的人關注到WiFi聯網速度慢的問題，甚至有62.05%的人吐槽WiFi連接太麻煩，竟然需要密碼。而僅僅有49.14%的人會關注WiFi安全問題。數據表明，人們會關注到很多WiFi聯網實際操作問題，但超五成用戶都沒有意識到WiFi的安全問題。

　　3、連接公共WiFi被騙案例

　　A、蹭了下免費WiFi銀行卡6萬存款變500

　　不久前，人民日報報道一起連免費WiFi，6萬存款只剩500的事件引發關注。這是在江蘇揚州發生的一件蹊蹺事：市民小周的銀行卡沒有用過，但他卡上的錢卻不翼而飛。不到兩天時間，總共發生69筆交易，當事人賬戶上的6萬多元僅剩500元。

　　而警方介紹，當事人的銀行卡以及保障網銀安全的U盾、密碼等都沒有丟失過。經調查發現，錢款丟失與他曾在公共場所接入不安全的WiFi有關。據了解，這種騙術僅需一臺WIN7系統電腦、一套無線網絡及一個網絡包分析軟件，設置一個無線熱點AP，就可以輕松地搭建一個不設密碼的WiFi。如果用戶連接這個免費WiFi，騙子可通過替換非法網站，截獲網絡數據破解密碼，篡改收款人轉賬接收賬戶等方式盜取錢財。

　　B、女子手機蹭WIFI充話費賬戶被盜上萬元

　　如今用手機充話費本是很平常的事，但日前湖北李女士只因逛商場時連接了一個免費WiFi充話費，結果取錢時卻發現卡內1萬多元現金不翼而飛。事后李女士表示，自己的銀行密碼從未向他人透露過，在存款消失后也未收到余額變動提醒。

　　據銀行及辦案機關調查發現，在當事人近兩個月賬戶流水明細中，其賬戶自10月8日開始間隔以1000元到3000元不等的金額轉入上海某有限公司，注釋為“KQ”。經詢問得知，客戶在網上最后一筆交易為10月8日，當事人當天在外地出差，逛商場時連接了一個免費WiFi，充了200元話費，后來再無消費，后來取錢時突然發現少了1萬多元。最終調查結論，李女士很可能在連接免費WiFi時支付密碼被黑客盜用，短信提醒也被屏蔽。

　　C、男子賓館上免費WiFi打游戲數千元裝備被盜

　　在南京，一位趙姓先生出差來此，由于酷愛玩游戲，趙先生到賓館安頓好后便搜索無線網，準備聯網玩游戲。趙先生發現了一個不需要WiFi密碼的熱點便立即連接使用。玩游戲直至凌晨一點多，趙先生才上床休息。而早上醒來后，趙先生發現自己價值幾千元的游戲裝備無故消失了。

　　分析認為，趙先生玩游戲登錄的無線網絡存在安全隱患。并且，該賓館的工作人員稱其從不提供不帶密碼的無線網絡。實際上，趙先生連入的是一個釣魚WiFi，設置這個釣魚WiFi的人可以通過設備接入連接這個WiFi的手機、平板等移動終端，在趙先生輸入游戲賬號密碼時，相當于向釣魚WiFi的設置者提供了賬號和密碼。

　　第三章不安全WiFi背后的個人信息買賣產業鏈

　　連接不安全WiFi不僅有個人財產損失的風險，還會泄露和侵害公民個人信息，當前個人信息成為一種新的“商品”被隨意買賣。經過龐大的網絡交易市場的推波助瀾，在巨大利益驅使下，黑客的隊伍日益壯大，不安全WiFi日益猖獗，成為新的信息泄露重災區，給人們的日常生活帶來了極大安全隱患。

　　1、釣魚WiFi竊取個人信息成黑色產業鏈上游

　　當前,不少人到了餐廳或者咖啡館,要做的第一件事已經不是點東西，而是拿出手機搜索店里的免費無線網絡。很多店也會在門口貼出“店內有免費WiFi”的標語,以此來吸引更多人光顧。但是，網友們在享用免費網絡的同時，也可能正面臨著安全風險。

　　一些不法分子利用網友想免費上網的心態，在公共場合用一臺電腦、一套無線網絡及一個網絡包分析軟件就可建一個不設密碼的WiFi，盜取蹭網設備上的資料。連接這種“黑網”所進行的操作、傳輸的數據都可被第三方監視，黑客可從數據包里查到用戶登陸信息，從而竊取個人郵箱、社交軟件賬號、照片、短信等信息。

　　2、釣魚網站、手機木馬成作惡幫兇

　　不安全WiFi熱點其實就是在數據傳輸的上游設置了一道閥門，所有接入者的數據都通過這個閥門與相應的網站進行傳輸，黑客通過一些特定的攻擊設備，就可以對這些數據進行記錄和抓取分析。這樣，接入者的賬號、密碼等個人信息就被不法分子一覽無余。

　　除了抓取用戶數據包，黑客還可以通過病毒、木馬程序，讓接入者的設備中毒，獲取終端數據，另外，免費WiFi給黑客植入釣魚網站提供了便利。通過相關技術，黑客可以在接入者瀏覽網站時植入一段HTML代碼，使其自動跳轉到釣魚網站。如果此時登錄銀行、支付寶等進行電子商務交易，接入者就會面臨更嚴重的經濟損失。

　　3、購買個人信息進行精準營銷或精準詐騙成產業鏈下游

　　相關數據顯示，90%的網友曾遭遇個人信息泄露，有94%的網友認為當前個人信息泄露問題非常嚴重，普通老百姓幾乎是“刀俎下的魚肉”，幾乎人人裸奔。那么，是誰讓我們變成了沒有隱私的“透明人”？大量個人信息被出售、倒賣到哪里？誰在利用公民個人信息的作惡？

　　目前，非法買賣個人信息已不是新鮮事物，高額利潤使大批不法分子趨之若鶩，甚至悄然形成了一條收集、加工、倒賣個人信息的地下“產業鏈”，結成了一條完整的犯罪網絡和利益鏈條，作案隱蔽，內外勾結，并與詐騙等下游犯罪相互交織，在這條“產業鏈”上，每一個“鏈條”都“拴”著利益。

　　4、黑色產業鏈規模或高達上百億元

　　黑客，是信息來源的最頂端，黑客利用不安全WiFi等技術手段，大量套取用戶信息，再將這些信息賣給“下家”。而“下家”利用自己手上的資料，一方面以群發短信或郵件等方式推銷這些隱私信息，另一方面還會在網上公開打廣告，有意者只需用搜索引擎或聊天工具就能找到他們。據悉，黑客實際掌握用戶數據庫的數量已超過1億條，中國黑客的黑色產業鏈規模或高達上百億元。