东北网4月26日讯 阳光明媚的春日，一边慢饮咖啡一边秀图发朋友圈。“嘀嘀”，微信提醒，来了一封邮件，你打开看一眼，继续漫无目的浏览网页。信号强、免费WiFi真好用。你的脸上露出淡淡笑容。这种情形几乎每天都在咖啡馆上演，不但咖啡馆，豪华餐厅、路边小店，有免费WiFi的地方就有人在低头看手机。可是这样的免费WiFi用着安全吗？上网时你被人偷走了多少信息你知道吗？22日，在一名高手协助下，记者做了一个测试，结果在一家有免费WiFi的店里，他用一部很普通的手机就破解了记者的邮箱和密码……而这，还只是“小儿科”。

　　手机变得赤裸裸

　　22日10时，陈明如约来到报社。在一间搭有临时WiFi的会议室，记者与陈明开始了测试。记者用手机连WiFi然后上朋友圈，陈明则要破解WiFi密码，然后控制记者的手机。

　　陈明拿出笔记本电脑，10分钟就破解了密码，与记者手机同时连到WiFi上。不一会儿，大屏幕上开始有字符一串串闪过，接着出现了记者的邮箱及密码。

　　通过邮箱和密码，陈明看到了记者的QQ好友，他找出其中一位通过网上大数据翻查他的活动及曾用过的密码，一排排数字跳出来，其中一个正是该好友的生日。不久前，单位刚刚给他送过生日蛋糕。

　　记者上传一张图片，图片在陈明那生成一组数码，通过转换数码重新变回图片，图片被陈明截获了。陈明说，除了邮箱密码，还可以截获各种论坛登录密码，手机上所有个人信息、微信、照片都可以一览无余，整部手机都将变得赤裸裸。

---

　　连上WiFi就无人幸免

　　14时，记者与陈明来到一家咖啡厅继续测试。记者询问吧台得知免费WiFi密码后登录到咖啡厅内的无线网络，而陈明用手机上的软件也登录到免费WiFi。

　　陈明划动手机，屏幕上闪烁着一行行字符。他说，这些字符显示的是现在咖啡厅所有连到它家免费WiFi上的用户信息，包括手机型号。在一串串跳闪的字符中间，记者又看到了自己的邮箱和密码，这串字符的后面，还有几个人的邮箱及密码也在更新跳闪。陈明讲：“虽然此时大家不一定在收发邮件，但只要手机上连着邮箱，而此时又与别人连在同一个公共WiFi上，那你的邮箱和密码就会被人截获，而这种截获非常简单，只需一个普通的智能手机，下载一款软件就可做到。攻击手机，在你周围就可读取你的QQ、图片甚至拿到你电话系统的最高权限，可你却毫无知觉，只要连上WiFi就无人幸免。”

　　陈明又连接电脑，一阵“噼里啪啦”的键盘敲打声之后，他告诉记者，这家咖啡店的网络太不安全了，如果是一个别有用心的人，连上WiFi，还可能连到他家主机电脑上，进而查看他家所有往来账目。这种简单的WiFi设置不但让上网顾客面临安全隐患，也让自己暴露在攻击者的目光之下，后果可怕。

　　我就这样默默“注视”你

　　他说，前几天去过一家蛋糕店，那家店也有免费WiFi，当时他曾连过并发现了一个很大的漏洞。陈明连到蛋糕店的WiFi后，切换到蛋糕店室内监控摄像头上，手机屏幕上显示出清晰的画面，柜台、点钞机、电脑收银机一览无余，店内一老板模样的中年男子正向顾客解释着什么。

　　陈明划动手机退出画面，一切都悄无声息，无人知觉。他说：“虽然我们现在坐在咖啡厅里，但我们可以通过咖啡厅的WiFi做一些其他事情，比如刚才连到蛋糕店，你默默注视他半天，他却浑然不知。你还可以只来咖啡店买杯咖啡，上网后留下后门，以这个后门为跳板，回家继续操作，作出其他攻击行为。而这种作弊，追查起来却很麻烦，通常只能查到咖啡店，如果再继续查咖啡店的路由器，数据量非常大，查起来特别缓慢，而且还有可能误判，追查出‘元凶’的可能性并不大。”

　　祈祷有个好邻居

　　公共WiFi隐患这么大，那么是不是自己家的WiFi就会好一些？陈明摇摇头：“他们的安全性是一样的。”陈明说，家里的WiFi没那么多生人连接，看起来似乎是安全的，但如果你的邻居是一个别有用心的人，那么他会搜到你的WiFi，然后破译密码登录。如果他只是单纯蹭网还好一些，如果他另有企图就会很麻烦，“他会通过你的网络给你设计一个钓鱼网站，你用手机或电脑上网时，截住你引你到钓鱼网站。再比如设计一个木马，远程控制你的电脑，这种控制可以在你毫无察觉情况下让你的摄像头工作，拷贝、移动或删除你的文件，监控你的键盘行为，你敲下的任何一个密码都能被对方捕捉，从而拿到你的支付宝口令，转走你的现金。可以说，如果邻居通过WiFi入侵了你的网络，那么你在家里的一举一动他都会一清二楚，虽然你们隔着一堵墙，你觉得很安全，但这堵墙就像单向玻璃一样只隔住你的视线，却让对方尽收眼底。”

　　陈明提醒，要想提高家里WiFi安全指数，第一步要设置MAC白名单(在访问控制里)，具体操作是输入winkey加R，然后输入CMD，输入ipconfig空格/all，然后按回车键，这样我们就看到一个本机地址，添加本机地址到路由器就可以，当然有的路由器也自带本机地址。第二步要设置复杂密码，比如密码设置成大小写数字加特殊符号。第三步要关闭WPS功能，杜绝PIN破解。第四步就是经常换密码。

　　“圈子”套“圈子”

　　QQ号是网络社交中的个人代码，一个现实中的朋友，可能换掉手机号就失去了联系，可一个网络上的朋友，不管他在哪，只要上QQ你就不愁找不到他。

　　陈明从记者的QQ好友中随便找出一个号码继续演示，他在笔记本键盘上敲下这个数字进行搜索，电脑屏幕上立刻显示出这个号码的网络关系图，他加入过哪些群，这个群里有什么人。围绕这个中心号码屏幕上显示着一圈一圈的企鹅，它们戴着红围脖密密麻麻站了一屏，每一个企鹅就是一个好友。

　　这些数据是从哪来的？陈明说，这个数据库就叫“社工库”，这里的“社工”不是社会工作者的简称，而是社会工程学的简称，某些别有用心的人利用人的相似特点或弱点进行攻击，而“社工库”就是运用社会工程学进行攻击的时候积累的各方面数据的结构化数据库。这个数据库里有大量信息，甚至可以找到每个人的各种行为记录，比如酒店开房记录、个人身份证、姓名和电话号码。

　　记者在百度上敲下“社工库”，找到相关结果约744000个，其中一个词条后面显示密码查看器，可以查看个人使用过的所有密码。

　　陈明说，QQ让个人交流变得天涯咫尺，又方便又迅捷，但同时QQ也包含一些隐患，别人知道了你的QQ号，就能通过这个号码找到你的社交圈，然后通过你的圈子找到其他人，以及他们的社交圈，一个一个隐私呈几何方式扩散。

　　“撞库”与“人肉”

　　“社工库”里搜集到的个人隐私是怎么被泄露出去的？陈明说，一方面是居民在做各种个人信息登记后，被这些单位的员工卖出去的，另一方面是某些数据网遭受攻击泄露出去的，而这种攻击方法就叫“撞库”，即攻击者通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登陆的用户。他解释，很多用户在不同网站使用的是相同的账号密码，因此攻击者可以通过获取用户在A网站的账户从而尝试登陆B网址，这种攻击方式就是“撞库”。

　　陈明说，与“撞库”相关连的还有一个词，叫“人肉”。陈凯歌的电影《搜索》形象而直观讲了一个被“人肉”的姑娘的故事。“人肉”让人毫无隐私，那么“人肉”的信息又是从哪来的呢？“一方面是当事人的身边人提供的信息，另一方面就是网上的‘社工库’，比如被‘撞库’攻击后漏露出的家庭信息、电话号码、身份证号等等。”陈明说，谁都不想被“人肉”，可“人肉”的事情却从未在网上杜绝，一方面它让大家获得足够多的信息，另一方面它又严重侵犯个人隐私，好和不好都是互联网。

　　当隐私数据扩大化

　　上网买东西，服务器会留下你的数据，计算你的购买量及兴趣，然后店家据此信息对你有针对性地推送；去蛋糕店买蛋糕，服务器会留下你的数据，根据蛋糕的卖出量计算大众的口味和兴趣，店家以此信息为依据进行下一步改良；去有免费WiFi的地方上网，你的数据同样会被记录，下次再来时它会进行默认识别……互联网无处不在，它罩住了我们每一个人，让我们有意无意或多或少都在泄露自己的信息。陈明说，只要有互联网，想彻底防范个人信息泄露几乎不可能，但有些信息泄露并不影响个人生活，所以我们也不必过分忧虑。

　　互联网存在了那么长时间，隐私泄露这一点就没办法改变吗？对于这个提问，陈明说：“这主要是密码设置的问题，我们现在的密码输入方式由数字、字母和符号组成，这种密码认证方式不改就永远存在被破解的可能，虽然有些登录限制输入密码的次数，但那只是一定程度上的防御，并不能从根本上解决这个漏洞。”

　　而最安全的密码可以用硬件key或证书或发短信验证码，但无论怎样网络安全与网络攻击都是一对孪生兄弟，他们此消彼长会一直向前。

　　我们能做什么？

　　目前互联网条件下，既然身边隐患重重，那我们为自身安全又能做点什么？陈明说，在公共场所上网时应尽量用自己3G或4G流量，公共WiFi尽量不要连接；如果不得已非要连接也尽可能使用商家带密码的WiFi网络。对于手机的安全维护，可以加装安全软件，安卓手机不要ROOT，苹果手机不要越狱。

　　但公共场合，个人能做的毕竟有限，这就对提供免费WiFi的商家提出一个要求，也即商家提供这项服务时必须保证其安全。为此，商家要做的首先是ARP(内网嗅探地址解析协议)防护，在无线AP后面加装防火墙，做好内网隔离。WiFi对用户免费开放时做好用户登录认证；加装ARP防火墙，将MAC和IP地址绑定，做静态IP，这样基本上可以做到初级和中级层面防护。此外，商家提高硬件配置，让开放网络与办公网络隔离，在开放的外网上使每一个连到自己WiFi上的用户都处于一个独立的子网，也能一定程度上避免遭受攻击。商家一旦感觉到网络明显变慢，就很有可能是遭遇了会话劫持，此时应马上注销退出账号，并断开网络。陈明说，多加小心总没错。(陈明为化名)