你乱蹭网了吗 当心用免费wifi盗网银
商场内的免费wifi竟然暗藏陷阱！近日，扬州一位市民银行卡内的6万多元不翼而飞。警方经调查发现，这竟与他曾在公共场所接入过免费wifi有关！专家表示，骗子专门在大型商场等人流密集的公共场所建免费wifi，为的就是窃取用户的信息。一旦连上这样的“黑wifi”，银行密码被盗取只需1秒！ 该消息经《焦点访谈》报道，并迅速被央视新闻、新浪河南等知名媒体的官方微博转载，目前#免费WiFi盗网银#的新浪微博话题已登上热门，阅读量超过220万。震惊不已的网友纷纷表示，没想到科技的强大竟为骗子提供了可乘之机。更有网友高呼，不是所有的免费wifi都是好wifi！为了防止受骗难道只能草木皆兵的呆在家里上网了吗？ 的确，免费wifi不一定就是好wifi。近年来随着智能手机的普及和移动互联网的发展，免费wifi的市场需求持续升温，假如没在公共场所“蹭”过网你都不好意思跟别人打招呼。然而这一看似平常的行为却隐藏着不小的安全隐患。在此前就有过女用户在麦当劳使用免费wifi上网被骗2000元的惨痛教训，该用户更在一怒之下到当事麦当劳门前举牌抗议。如今“6万门”事件再次将“免费wifi的安全性”话题推到了风口浪尖，也必会使更多用户在“蹭网”时有所顾虑，不敢轻易连接。 “这些事件充分说明了提高对公共wifi安全的重视程度、养成良好的wifi使用习惯已到了刻不容缓的地步。”360手机安全专家表示，正因为移动互联网的环境日趋恶化，所以360免费wifi手机版将安全性能视为研发战略中的重点。用户使用360免费wifi手机版“蹭网”（蹭网=蹭运营商和商户的网，由360来埋单），不仅可以使用三大运营商、数以千万计的商户及广大个人用户分享的过亿wifi热点，更能够享受到包括DNS防篡改、防ARP攻击、防钓鱼wifi在内的超强防护，从而有效避开各种网络陷阱。 & 360免费wifi手机版会自动检测出不安全的热点 & 360免费wifi手机版可提供多重安全保障
由于流量费不菲，故免费wifi注定是刚需。在如今的免费wifi时代，任何不确保安全性的使用都是耍流氓。360安全专家在此特别提醒，在公共场所使用免费wifi上网时，首先要选择安全系数高的产品并连接安全的wifi热点，而那些“来历不明”的热点则应避免使用。其次，尽量不要使用免费wifi进行与金钱有关的操作，如果不得不使用，则应首选安全性高的浏览器。为了确保万无一失，用户还可下载手机安全软件，为安全“保驾护航”。 &
分享给你的圈子
来源: 手机之家
热门手机排行榜
& 2002-.cn 手机之家 所有权利保留京ICP备号&京ICP证090349号&电信业务审批[2009]字第281号&京公网安备：手机数据流量和WIFI同时开着 在有WIFI网络的情况下 数据流量不关 还会费流量吗_百度知道此页面上的内容需要较新版本的 Adobe Flash Player。
您当前位置：&&&&&&&&&&&&
用公共WiFi上网 网银会被盗吗？
( 04:26:00)
　　在星巴克、麦当劳这些提供免费WiFi的公共场合，用一台Win7系统电脑、一套无线网络及一个网络包分析软件，15分钟就可以窃取手机上网用户的个人信息和密码，比如网银、支付宝密码。
　　其实，无论你使用电脑、iPad，还是手机，只要通过WiFi上网，数据都有可能被控制这部WiFi设备的黑客电脑截获到，信息是有可能被窃取的，当然包括未经加密处理的用户名和密码信息。但是，无论什么系统的电脑，架设了多么高级的WiFi热点，黑客都无法在用户正确操作下获取网银和支付宝密码，更不要说盗窃其中的钱了。
　　手机银行有特殊保护
　　用户可通过手机上的专门客户端程序，通过WAP方式与银行系统建立连接。手机银行的账户信息是经过静态加密处理的，而且与手机绑定，假使他人盗取了你的账户信息，但在其它手机上也无法操作。
　　最重要的是，手机银行还有认证手段。输入正确的账号和密码，当进行涉及到账户资金变动的操作时，手机银行会提示输入特定的电子口令，而电子口令卡就是一种有效的认证手段。
　　用过个人网上银行的网友都会知道，使用前必须安装银行提供的安全控件，否则账户信息栏是灰色的，根本无法输入任何信息。而手机的系统无论是苹果、安卓，还是塞班，统统都不支持这个控件，根本就安装不了，账号自然无法输入。
　　公共WiFi确实能“钓鱼”
　　不少账户被盗的案例其实是因为访问了钓鱼网站。公共的WiFi则提供了植入钓鱼网站的潜力。
　　为了避免上当受骗，使用者一方面需要对别人发来的网络地址多留心，另一方面，尽量选择具有安全认证功能的浏览器，这些浏览器能够自动提示你打开的页面是否安全，避免进入钓鱼网站。此外，在公共场所选择WiFi时，一定要看清楚名称，并最好把WiFi连接设置为手动而非自动。
【】 【】 【】
主办：厦门市人民政府　承办：
技术支持：厦门市信息中心用公共WiFi上网会危害银行账户安全吗？ | 科学人 | 果壳网 科技有意思
用公共WiFi上网会危害银行账户安全吗？
使用公共WiFi上网会被窃取个人信息和密码吗？使用公共WiFi上网使用网银安全吗？
本文作者:奥卡姆剃刀
流言： 【近日有黑客自曝：在星巴克、麦当劳这些提供免费WiFi的公共场合，用一台Win7系统电脑、一套无线网络及一个网络包分析软件，15分钟就可以窃取手机上网用户的个人信息和密码。国内某知名安全机构的工程师承认，这个真可以做到。网银、支付宝密码……你懂的 】
真相： 这是从昨天开始微博上疯传的一个帖子。其实，无论你使用电脑、iPad、还是手机，只要通过WiFi上网，数据都有可能被控制这部WiFi设备的黑客电脑截获到，其实也未必一定是Win7系统，信息是有可能被窃取的，当然包括未经加密处理的用户名和密码信息。但是，无论什么系统的电脑，架设了多么高级的WiFi热点，黑客都无法在用户正确操作下获取网银和支付宝密码，更不要说盗窃其中的钱了。
手机银行如何保障安全
用户可通过手机上的专门客户端程序，通过WAP方式与银行系统建立了连接，并进行账户查询、转账、缴费付款、消费支付等金融服务，这种方式被称为“手机银行”。与一般上网方式显著不同的是，其网址的头三个字母是WAP。手机银行的帐户信息是经过静态加密处理的，而且与手机绑定，假使他人盗取了你的账户信息，但其它手机上也无法操作。经与工行客服核实，他们称现在为了方便用户，允许非指定手机操作手机银行账户了，但允许操作的资金额度很低。
最重要的是，手机银行还有认证手段。加密的原理很简单，其目的是让非授权用户即使获取了数据也无法利用，而认证则是对数据是否篡改、接收数据的人是不是授权用户等方面的审查措施，用来保证数据是真实可靠的，接收者是被授权的。从采用的具体技术和算法而言，加密与认证并没有明显的区别，但从功能角度而言，两者非常不同，相互不能取代，并可通过有效配合而达到很高的安全性。
你输入了正确的帐号和密码，当进行涉及到账户资金变动的操作时，手机银行会提示你输入特定的电子口令，而电子口令卡就是一种有效的认证手段。例如下图就是张工行的电子口令卡，它发来信息C5H8，你就要在相应的输入框里输入138141，而且银行每次发来的信息都不会相同。
工行的电子口令卡
不同的银行可能会采用不同的认证方法，比如建行就是通过绑定手机发送手机验证码，但都起到了类似的作用。
个人网上银行如何保障安全
个人网上银行会采用https的加密协议来保障交易安全，结尾比你常见的http多了个s。你在电脑上输入个人网上银行地址，当跳转到账户信息输入页面时，网址栏就由http变为https了，而且在最后面还多了一只小挂锁，这寓示着通过这个页面输入并传送的数据，会被128位的加密算法进行加密，只有银行方面才能正确解密，即使这些加密数据被黑客全部拿到，也毫无用途。
网银和支付宝的https页面和小挂锁标示，点击黄色小挂锁，就会弹出“网站标识”框，可查看证书情况。
而且，用电脑通过https方式访问个人网上银行时，还有认证手段的保护，操作帐户资金限额的大小与认证手段的强度相匹配，电子口令卡的认证强度低，能操作的资金少，而U盾的认证强度大，能操作的资金就多。使用https协议与个人网上银行进行连接，这是银行为了保证安全而采取的强制措施，通过非加密协议传送的信息是不会被银行所接纳的。
用过个人网上银行的网友都会知道，使用前必须安装银行提供的安全控件，否则帐户信息栏是灰色的，根本无法输入任何信息。而手机的系统无论是苹果、安卓、还是塞班，统统都不支持这个控件，根本就安装不了，帐号自然无法输入，被盗取更是毫无可能。
有些高水平玩家会在手机上装虚拟机，这倒是可能安装上银行的安全控件并成功操作个人网上银行，这时手机就已可看作是个简版电脑了，自然也要跟使用普通电脑一样，通过https这种安全协议与个人网上银行进行数据交换。
警惕钓鱼网站
不少账户被盗的案例其实是因为访问了钓鱼网站。他们伪装成正规的银行页面或是支付页面，骗取你输入的帐户名和密码，而这未必一定需要通过WiFi热点这种方式来实现，任何上网的方式都有可能上当。不过，公共的WiFi确实提供了植入钓鱼网站的潜力，利用ARP欺骗，可以在用户浏览网站时植入一段HTML代码，使其自动跳转到钓鱼网站。从这个角度说，公共WiFi网络为用户提供了一个便利的钓鱼环境。
避免被钓要注意使用安全。一方面，需要对别人发来的网络地址多留心，因为这个地址可能非常接近如淘宝、网上银行的域名地址，打开的页面也几乎和真实的页面完全一致，但是实际你进入的是一个伪装的钓鱼网站；另一方面，尽量选择具有安全认证功能的浏览器，这些浏览器能够自动提示你打开的页面是否安全，避免进入钓鱼网站。对于智能手机用户，在下载和交易有关的客户端软件时尽量选择官方渠道下载，不要安装来路不明的客户端。
结论： 银行账户是否安全与手机是否是通过免费的WiFi上网，并没有必然的联系。使用基于WAP客户端的手机银行是安全的，用电脑通过https使用个人网上银行也是安全的，但不要用手机上个人网上银行，现在绝大部分银行也还不支持这项业务。用电脑上个人网上银行时，请核实下https和地址栏后面的小挂锁标志。
如果各大网站能在用户验证部分使用https，将能更好地保证用户身份验证过程的安全，虽然这样会给网站带来一笔开销。希望在一系列安全事件爆发之后，引起相关行业人士的重视。
P.s. 互联网没有绝对的安全，这话确实不假……
文章主要针对大家最担心的网上银行的安全性来讨论，关于公共WiFi安全性的更多讨论，请看果壳问答
里的回答和讨论。
日update：本文原文“用电脑通过https使用个人网上银行也是安全的，但不要用手机上个人网上银行，现在银行也还不支持这项业务。”经由网友@hqabc_ 指出，与原作者核对后，修正为“现在绝大部分银行也还不支持这项业务。”
特别鸣谢：
对本文的帮助。
你可能感兴趣
网络安全工程师
的话：我觉得网吧的网管都是折翼的计算机毕业生……即使有那个心有那个技术，你要买个带防火墙的路由器，老板也不批……整个软件版的将就用一下，还是有一定效果。我觉得学校机房，公司内网是真应该重视一下内网安全这个问题，毕竟他们都是有条件有能力做好这方面的工作。
环境工程博士生，计算机爱好者
的话：我觉得网吧的网管都是折翼的计算机毕业生……即使有那个心有那个技术，你要买个带防火墙的路由器，老板也不批……找个破机器装上专门的路由软件应该是可以的
UC的代理加速破坏了https安全性，密码是明文传输的，通过架设无线热点完全可以盗窃用户数据，有些网络支付也完全只通过密码就可以完成
电子信息硕士，高校教师，奶爸
的话：整个软件版的将就用一下，还是有一定效果。我觉得学校机房，公司内网是真应该重视一下内网安全这个问题，毕竟他们都是有条件有能力做好这方面的工作。公司并不清楚，讲一下学校。以我校为例，全校的网络维护归属网络中心，但是网络中心在设备采购方面只能提出建议或者要求，决定权和招标权在设备处，设备处及有权限的领导通过价格和你知道的原因选择供货商和设备具体型号。实际情况是，我这栋实验楼10几个机房，只给了2个C网。3栋楼共用一个路由，其他的则直接由二层交换机搞定。路由不带防火墙和ARP过滤，也没有服务器。每栋楼有一台DELL服务器负责学生签到，但是因为软件端不给力，基本全校都使用人工纸质签到。我有心维护，可惜权限只有自己管理的机房，别人被ARP攻击了，咱就不能上网……顺带说，我校有13.58万亿次/秒的，全国第三的超算中心，可惜那又是另一个系统……
电子信息硕士，高校教师，奶爸
的话：找个破机器装上专门的路由软件应该是可以的你想用破机器做服务器？
第三方应用有些会采用明文协议传输数据，比如用UCWeb直接登陆淘宝，蹭网的确可能会被截包获取隐私，不知道哪些明文哪些加密的话最好还是别用手机蹭网。
电子信息硕士，高校教师，奶爸
的话：第三方应用有些会采用明文协议传输数据，比如用UCWeb直接登陆淘宝，蹭网的确可能会被截包获取隐私，不知道哪些明文哪些加密的话最好还是别用手机蹭网。鉴于SSL层的所谓不可更改原数据的属性，UC传输的数据是不会被交易双方接受的，所以UC目前根本不能支持SSL。
果壳谣言粉碎机编辑
谣言粉碎机所有文章中我唯一一篇看不懂的。
哈哈，手机认证+动态口令卡，密码随便截取有毛用。。
切，内网环境非常不安全。。。。对于非专业用户，内网ARP攻击+DNS欺骗+钓鱼能搞掉你的所有密码。。
的话：你想用破机器做服务器？VM8+海蜘蛛吧~
密码最严重的问题不在于传输——传输有专业人员解决——而是密码的设计和记忆，过于白痴的密码、所有用途使用相同密码才是最大的危险。除了涉及到钱的网站，一般网站是不会采用SSL或高级的用户认证方式，而是简单地直接使用明文（或简单变换如HTTP的basic认证）发送密码，这一般也没什么问题，但是如果被侦听到密码或者网站的数据库泄露，那么就可以对其他网站进行字典攻击，因为很多人对不同的网站使用相同的用户名和密码！
钓鱼是个很讨厌的问题，所以应该只使用自己收藏的链接，而不是别的网站提供的广告链接甚至是QQx消息
的话：顺便科普网吧泄露密码的一种方式，虽然方法有很多，这种比较常用，而且可以养肥了再杀。看你后面的post应该是比较懂的人，那就不要随便传播这种很会让人误解的东西吧。中间人攻击对https不起效，因为中间人没有目标网站经过CA签名的证书，所以发给用户的证书会让浏览器发出警告。现在的浏览器一般对证书错误的网站警告措辞非常严厉，不懂的人不会接受这种网站证书的。所以在公共WIFI的地方用基于https或者硬件Key的安全性和在私有网络是完全一样的。如果你信不过公共Wifi环境的话，也请不要对能控制电信路由器的工程师们放松警惕 :pUC浏览器的话，简单地说就是UC的服务器帮你从https那边取下来，然后通过明码编码和你的手机通讯——路由上的任何人（电信路由器、公共wifi路由器）都能截获你的“保密”信息。但即使UC改成加密线路和手机联络，也请不要使用UC来访问https服务，虽然这样能避免中间路由上的信息泄露，但把保密信息透露给目标网站之外的任何第三方——比如UC——都是一个极不明智的行为。
的话：密码最严重的问题不在于传输——传输有专业人员解决——而是密码的设计和记忆，过于白痴的密码、所有用途使用相同密码才是最大的危险。除了涉及到钱的网站，一般网站是不会采用SSL或高级的用户认证方式，而是简单地直接使用明文（或简单变换如HTTP的basic认证）发送密码，这一般也没什么问题，但是如果被侦听到密码或者网站的数据库泄露，那么就可以对其他网站进行字典攻击，因为很多人对不同的网站使用相同的用户名和密码！大部分稍微正规一点的网站都会采用https来做身份验证，所以还好。至于相同用户名和密码的问题，比较推荐的是类似这种解决方案：
这种解决方案下即使一个网站的密码泄漏了也不会造成其他网站密码泄漏。
的话：顺便科普网吧泄露密码的一种方式，虽然方法有很多，这种比较常用，而且可以养肥了再杀。正解。没有绝对的安全，但是银行采用口令卡等额外的验证措施可以有效避免一些攻击。
网银不都是有https和数字证书的么？https抓取下来可以解开吗？数字证书基本就不会被钓鱼了吧？
软件工程硕士
所以现在招商银行停止了UC的支持嘛，如果用UC打开招商的手机银行会说请用手机登录~
的话：UC漏洞百出，别太相信他。不过……最近似乎升级了？漏洞百出，这话有点太过了~一家8年的公司，如果连用户的安全信息都无法保障的话，那他很难立足，所以我认为这个是特例，不能以偏概全。
的话：漏洞百出，这话有点太过了~一家8年的公司，如果连用户的安全信息都无法保障的话，那他很难立足，所以我认为这个是特例，不能以偏概全。代理和客户端之间都用明文的话就不能算特例了……
环境工程博士生，计算机爱好者
的话：你想用破机器做服务器？Pentium 级别的机器挂海蜘蛛路由或者open router/ROS大概能带得动50台的机器Win平台的X-router要求要高一些，起码得能跑2003据说用P4或者以上的机器基本上就可以战无不胜任何网吧了防火墙机器配置不用太好，也不要求跑X，装个内核，只要稳定，网卡速度快就行可惜正版海蜘蛛要花钱买，比破机器还值钱……唯一的问题大概是电费，比正规的硬件防火墙耗电高好多
环境工程博士生，计算机爱好者
的话：漏洞百出，这话有点太过了~一家8年的公司，如果连用户的安全信息都无法保障的话，那他很难立足，所以我认为这个是特例，不能以偏概全。这不是特例吧……代理和用户之间不用加密这个错误很低级……当然，可能UC有考量到加密会增大流量什么的？
的话：网银不都是有https和数字证书的么？https抓取下来可以解开吗？数字证书基本就不会被钓鱼了吧？中间人攻击不可不防，但是一般人都没能力伪造颁发证书什么的。。。只要浏览器提示了估计还是会提高警惕的。。。
的话：看你后面的post应该是比较懂的人，那就不要随便传播这种很会让人误解的东西吧。中间人攻击对https不起效，因为中间人没有目标网站经过CA签名的证书，所以发给用户的证书会让浏览器发出警告。现在的浏览器一般对证书错误的网站警告措辞非常严厉，不懂的人不会接受这种网站证书的。所以在公共WIFI的地方用基于https或者硬件Key的安全性和在私有网络是完全一样的。如果你信不过公共Wifi环境的话，也请不要对能控制电信路由器的工程师们放松警惕 :pUC浏览器的话，简单地说就是UC的服务器帮你从https那边取下来，然后通过明码编码和你的手机通讯——路由上的任何人（电信路由器、公共wifi路由器）都能截获你的“保密”信息。但即使UC改成加密线路和手机联络，也请不要使用UC来访问https服务，虽然这样能避免中间路由上的信息泄露，但把保密信息透露给目标网站之外的任何第三方——比如UC——都是一个极不明智的行为。+1
https ＋ 良好的上网习惯（不点击不明链接、网银专用密码等） ＋ 手工操作 U盾、口令卡、动态口令 ＋ 杀毒 ＋ 补丁 ＋ 防火墙 ＋ 定期（或异常时）恢复干净系统 这大概是用户所能做到的极致吧。如果做到了，内网、外网、wifi 的风险应该是差不多的。还有风险吗？
以前喜欢uc，后来用opera，现在只用iphone自带浏览器。uc更新不更新决不会再用。。。来自
手机上面保密什么的。。。不在意公用局域网上不做涉及现金操作的事，和现金相关的账号密码跟其他网站的是完全不同的几套。。。
显示所有评论
(C)2016果壳网&&&&京ICP证100430号&&&&京网文[-239号&&&&新出发京零字东150005号