看板 MobileComm
標題
Re: Fw: [新聞] 才連中國公共WiFi幾分鐘 他2.8萬存款不翼
作者 sanko
時間 2018/02/20 21:46:41
人氣 推:13 噓:0 留言:27
熱門文章不漏接,馬上點此訂閱每日熱門文章通知
訂閱Line日報 熱門文章不漏接,馬上點此訂閱
請問在台灣的公共Wi-Fi 像cht Wi-Fi ,wifly, 或是FET Wi-Fi 等需要付費 要輸入帳密的wifi服務也會有資安的疑慮嗎? 小弟有時候也會使用上述wifi進行網銀操作 看了一下似乎蠻可怕的 還是乖乖的使用行動數據上網比較安全? ※ 引述《ReDmango (10K高清天才小釣手)》之銘言: : ※ [本文轉錄自 Gossiping 看板 #1QZ0hLmb ] : 作者: ReDmango (10K高清) 看板: Gossiping : 標題: Re: [新聞] 才連中國公共WiFi幾分鐘 他2.8萬存款不翼 : 時間: Tue Feb 20 19:47:30 2018 : Wifi Phishing這東西應該也快20年了, : 但是到2018年的今天,大家還是很喜歡用公共免費Wifi呵呵。 : 本篇介紹資安基礎中的基礎,盡量將名詞翻譯成一般人可以聽懂的。 : Wifi Phishing大致上分成三種: : 一、假造熱點,提供網際網路。 : 二、假造熱點,不提供網際網路。 : 三、攻擊熱點,直接擷取資料。 : 給大家一個簡單的基本概念: : 只要掌控封包, : 使用者所有未加密的資訊都將會開誠布公, : 一五一十的出現在你面前。 : (像PTT預設就是明碼傳輸,你的WIFI提供者可以直接看到妳的帳號密碼) : 明碼傳輸連一點技術門檻都沒有,連破解都不用破解。 : 而已加密的資訊,目前使用SSL2.0的伺服器也幾乎都有辦法破解, : 只是運算的時間問題。 : 一、假造熱點,提供網際網路。 : 透過偽裝的熱點名稱,讓終端使用者連入, : 你就可以掌控使用者傳送的所有封包。 : 也可以透過DNS Forwarding,造假使用者想要連接的網頁。 : 現在我們來假設終端使用者的裝置,想要連線上Gmail.com, : 其實是連接到127.0.0.1/hack-gmail。(假設) : 127.0.0.1是你自己的電腦, : hack-gmail是當使用者連線上Gmail.com時所實際開啟的網頁, : 此時使用者裝置認為的Gmail.com就是你的電腦的這個網頁。 : 現在使用者透過他的裝置開啟的Gmail.com已經被你所掌控, : 他只要一輸入帳號密碼,其實是寫到你自己建立的資料庫中, : 你再撈出這個帳密,到真的Gmail.com填入,再把畫面騰給使用者, : 終端使用者並不會感受到任何差異,他最終打開的依然是他的Gmail信箱, : 信也都是他的,也可以正常收信、寄信或者執行任何動作。 : 任何的網站皆可以如此做,只是複雜度與時間性的問題。 : 如果今天偽裝了一個網路銀行的頁面,讓你輸入了登入驗證資訊, : 你的網路銀行立刻門戶大開。 : 偽裝網站只是最常見的一件攻擊方式, : 可以很簡單,也可以很難。 : 除此外還有無數種可以獲取使用者資料的模式。 : 而拿到使用者的帳號密碼後,基本上網路上所有的服務你都可以登入, : 因為大多數的使用者在所有的服務上,都使用完全相同的帳號密碼。 : 二、假造熱點,不提供網際網路。 : 呈上點,你已經知道了最常見的造假網站。 : 造假網站最難的技術門檻是,要把使用者導回真正的網站, : 那我們乾脆不要把使用者導回真正的網站如何? : 這樣就簡單多了,技術門檻直接大幅下降。 : 你會問:「不轉回真正的網站,那使用者不就知道網路被駭了?」 : 對阿,到這裡你就該知道有問題了,但是有九成九的人,都不會覺得異常。 : 這次以Facebook來舉例。 : 比較初階的模式,只做登入頁面,使用者登入後,就一片空白沒有下一步了。 : 進階一點,我們可以做一個「帳號密碼輸入錯誤」的提醒頁面。 : 唉,既然都已經做了輸入錯誤的頁面,那乾脆這邊也寫入資料庫好了吧, : 使用者會因為帳號密碼顯示錯誤,不停地嘗試各種自己用過的帳號密碼。 : 你輸入的每一個帳號密碼,我都記錄在資料庫裡了, : 那麼以後我只要用這些帳號密碼去試你別的服務,總有一個會中。 : 既然輸入錯誤的頁面都已經做了, : 那乾脆做一個忘記密碼的頁面吧。 : 於是又做了一個忘記密碼的頁面, : 使用者輸入的信箱、安全驗證問題(你小學老師或你家狗叫啥等等), : 也全都記錄在資料庫中。 : 然後你再去信箱收信,可是信箱也是被假造的網站, : 於是你發現原本要登Facebook登不進,現在連信箱都登不進了。 : 也就是有心人目前已經得知了你的Facebook帳號密碼, : 也知道了你的安全驗證問題,也知道了你收驗證信用的Gmail信箱帳號密碼。 : 喔對了,那乾脆再做一個, : 你的帳號異常遭鎖定,需要提交Facebook身分證件頁面好了, : 於是乎你的身分證件也被你拍下來上傳給我了。 : 現在的終端使用者大部分都會記憶連過的熱點名稱, : 連接到偽裝過的公共WIFI後,進入假的Captive Portal認證登入頁面, : 使用者輸入帳號密碼,就提供給他網際網路。 : 在很多不安全的Captive Portal頁面,「記住我」是一件非常可怕的事情, : 透過Cookie或裝置其他方式自動化的輸入或登入, : 讓使用者沒有可以察覺網頁異常的時間, : 便自動將帳號密碼直接送給他人。 : 而又回到剛剛講過的多數人所有帳密都一樣的問題上, : 知道了你的網路認證密碼,基本上其他的也都拿到了。 : 一直以來iTaiwan都有這個問題,我在多年前也反映給國發會過, : 只要很簡單的改進方式就可以改善,結果數年來一直都沒改, : 一直到去年底我發現終於iTaiwan在cookie中加上了認證的標籤。 : 好,講了那麼多,其實上面講的都是最易懂的釣魚方式, : 結論就是,當你別人WiFi的那一刻,你基本上就已經在裸奔了。 : (當然用自己的也可能就是了拉) : #基本上會用公共WiFi跟抗拒行動支付是同一群人 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.77.195.30 ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1519134403.A.A4A.html
op840906: 那種的應該還好 02/20 21:48
qwe04687: 只要是WIFI都可以被偽造 02/20 21:51
pooty: 一樣 02/20 21:55
paul40807: Public WiFi這種不用密碼(是指連上WiFi不用密碼的) 02/20 21:58
paul40807: 都可以被偽造 管你是中華 愛台灣 還是學校WiFi 02/20 21:59
LZong: 除非用SIM卡自動認證的那種,不然都可以偽造 02/20 22:13
RD: 看看別人怎麼偷你的密碼 02/20 22:14
sam613: SIM卡認證或WPA2那種才有加密,網頁登入那種都不安全 02/20 22:15
fireguard119: 台南市的公共wifi還要用身分證字號登錄 02/20 22:24
kiazo: 重點是,你確定你連的等於你所想的嗎? 02/20 22:31
Chenflying: 裝360衛士or騰訊管家or金山毒霸 管控所有wife即可 02/20 22:34
sam613: 樓上你到底有幾個wife 02/20 22:37
Chenflying: 多多益騸 02/20 22:37
TPDC: 應該是要802.1X的Wi-Fi才安全,像是CHT Wi-Fi Auto 02/20 22:41
imyellow: 我想連wife 02/20 22:41
blue09: 想上wife 02/20 22:44
JyunHong: SSID可以取一樣的 照騙不誤 02/20 22:56
JyunHong: 商用AP可以做rouge偵測 防止被有心人士取同名 02/20 22:57
Happrince: 可以用vpn連 02/20 23:19
nk950357: 你vpn還是會被引導到登入畫面吧? 02/20 23:50
trywish: vpn應該不會,因為是vpn主機那邊幫你導的,中間的線 02/21 00:34
trywish: 路狀況之類都不會管或截取,不然怎突破中國的牆。但 02/21 00:34
trywish: 用免費的vpn本身也不建議去碰和金錢有關的帳密。 02/21 00:35
qwe04687: 沒網路連不到VPN吧@@ 02/21 01:10
q2520q: 還好我裡面都沒有錢…嗚嗚 02/21 01:25
h14315324032: 還好我cht是用sim卡認證 02/21 23:24
近期熱門文章
MobileComm 看板熱門文章