免費公共WiFi暗藏「邪惡雙子」陷阱!黑客利用中間人攻擊偽造熱點,透過SSL剝離技術,可在短短數分鐘內截取用戶的網上銀行登入憑證及信用卡資料。網絡安全專家敦促市民切勿掉以輕心,強調在公共網絡環境下,必須使用VPN加密連線,並避免進行任何敏感財務交易,以防個人資產及私隱外洩。
即刻【按此】,用 App 睇更多產品開箱影片
黑客設「邪惡雙子」陷阱:免費熱點成資料黑洞,中間人攻擊截取網銀憑證
在數據流量昂貴或訊號不佳時,連接商場、咖啡店的「免費公共WiFi」已成為市民的指定動作。然而,這個看似平常的習慣,可能正讓您的銀行帳戶暴露於極高風險之中。網絡安全專家警告,黑客正利用一種名為「邪惡雙子」(Evil Twin)的技術,偽造合法的WiFi熱點,用戶一旦不慎連接,手機內的所有敏感資料,包括網上銀行登入憑證,最快可在5分鐘內被全數截取。
根據網絡安全公司 NordVPN 的研究報告,全球有超過四分之一的遊客曾在公共WiFi上遭黑客攻擊。美國聯邦調查局(FBI)亦多次發出公告,呼籲公眾在機場、酒店等公共場所使用開放式WiFi時需極度謹慎。
危機解構:黑客如何「5分鐘」清空你的帳戶?
許多人誤以為只要網站有「HTTPS」加密便萬無一失,但在公共WiFi的環境下,這種防線極易被繞過。安全專家曾現場示範了黑客常用的「中間人攻擊」(Man-in-the-Middle Attack, MITM):
- 設置「邪惡雙子」熱點: 黑客會在人流密集的場所(如大型商場),使用便攜式設備架設一個虛假的WiFi熱點。他們會將熱點命名為極具欺騙性的名稱,例如將原本的「Starbucks_Free_WiFi」偽裝成「Starbucks_VIP_Free」或「Free_Public_WiFi」,引誘用戶連接。
- 「一步做錯」:自動連接與缺乏驗證 當用戶的手機開啟了「自動連接已知網絡」功能,或因貪圖方便而手動連接了這個訊號更強的假熱點時,這便是致命的「一步做錯」。
- 數據截取與SSL剝離: 一旦連接成功,用戶的所有網絡流量都會先經過黑客的設備。專家指出,透過「SSL剝離」(SSL Stripping)技術,黑客可強行將用戶與銀行網站之間的加密連線(HTTPS)降級為未加密的HTTP連線。 此時,用戶在手機上輸入的任何信用卡資料、網銀帳號及密碼,都會以明文方式直接傳送到黑客的電腦螢幕上。整個過程僅需數分鐘,用戶卻渾然不知,直到收到銀行轉帳通知才驚覺存款已被清零。
後果遠不止金錢損失
公共WiFi的陷阱不僅限於金錢損失。黑客還可利用同一技術竊取:
- 社交媒體帳戶: 透過劫持「會話Cookie」(Session Cookie),黑客無需密碼即可直接登入您的 Facebook、Instagram 或電郵信箱。
- 個人私隱與商業機密: 您在網絡上傳送的未加密文件、照片或公司內部郵件,均可能被實時攔截。
- 植入惡意軟件: 假熱點可彈出偽造的「系統更新」提示,誘使用戶下載並安裝木馬病毒。
專家教路:3大安全連線守則
要在享受便利的同時保障資產安全,網絡安全專家強烈建議市民遵守以下3大守則:
- 【關鍵防線】必須使用VPN(虛擬私人網絡): 這是在公共WiFi環境下最有效的自保方法。優質的VPN服務(如 ExpressVPN、Surfshark 等)會將您的所有網絡流量進行軍事級加密。即使您不慎連接了黑客的「邪惡雙子」熱點,黑客截取到的也只是一堆無法解讀的亂碼,無法獲取您的真實資料。
- 【操作紀律】杜絕在公共WiFi進行敏感交易: 切勿在連接公共WiFi時登入網上銀行、進行股票交易或使用信用卡購物。若必須處理緊急財務事項,請務必切換回手機流動網絡(4G/5G),利用自身手機的熱點進行操作,其安全性遠高於任何公共WiFi。
- 【設定優化】關閉「自動連接」與「檔案分享」: 進入手機或電腦的網絡設定,關閉WiFi的「自動連接」(Auto-Connect)及「詢問是否加入網絡」功能,避免裝置在不知情下連接到不明熱點。同時,在公共網絡環境下,務必關閉裝置的「檔案與打印機分享」及 Apple 裝置的 AirDrop 功能(或設定為「僅限聯絡人」),以封堵黑客的橫向入侵路徑。
總結而言, 公共WiFi本質上是一個「零信任」環境。每一次點擊連接前,請先問自己:為了節省少許流量而冒著銀行戶口被清零的風險,是否值得?
【相關報道】
【相關話題】安全專家揭露「果汁劫持」攻擊:公共USB端口或已成黑客陷阱,竊取銀行資料
網絡安全專家揭露「果汁劫持」(Juice Jacking)攻擊手法正席捲公共充電設施,商場或機場的免費USB充電座或已淪為黑客陷阱。此攻擊利用USB數據通道,僅需數秒即能植入木馬程式,竊取網上銀行等敏感金融資料。本文將深入剖析攻擊原理,並提供4招「零信任」自保指南,助港人防範隨時發生的金融劫難。
Source: ezone.hk