公共WiFi上的密碼安全:哪些密碼會被盜及如何防範
密碼是攻擊者在公共WiFi上的首要目標。無論是通過流量攔截、偽造登入門戶,還是SSL降級攻擊,竊取您的密碼正是大多數網絡級WiFi攻擊的目的。以下詳細說明密碼在公共WiFi上面臨的風險,以及能夠真正保護密碼安全的具體措施。
密碼是攻擊者在公共WiFi上的首要目標。無論是通過流量攔截、偽造登入門戶,還是SSL降級攻擊,竊取您的密碼正是大多數網絡級WiFi攻擊的目的。以下詳細說明密碼在公共WiFi上面臨的風險,以及能夠真正保護密碼安全的具體措施。
第一種也是最直接的方式,是從未加密流量中直接截取。若您登入的網站使用HTTP(而非HTTPS),您的用戶名和密碼會以明文形式在網絡上傳輸。在同一開放網絡上,任何正在捕獲WiFi數據包的設備都能直接讀取這些憑證。雖然大多數主要網站現在已默認使用HTTPS,但僅支持HTTP的網站仍然存在——包括較舊的論壇、不夠專業的服務,以及一些通過遠程訪問的內部工具。此外,部分應用程序和服務即使在其網頁界面顯示HTTPS的情況下,仍通過HTTP傳輸憑證。在開放的公共WiFi網絡上,任何未加密的憑證傳輸都可即時被被動的網絡監控者讀取。
第二種方式是SSL降級結合中間人攻擊。已建立中間人位置的攻擊者(通常通過ARP欺騙)可以攔截您的HTTP轉HTTPS重定向請求,並向您提供網站的HTTP版本,同時自己與真實網站保持HTTPS連接。當您在看似正確但實際上通過攻擊者設備以HTTP傳輸的網站上提交登入憑證時,您的憑證便以明文形式被截獲。該網站可能與合法網站完全相同——唯一可見的跡象是地址欄中缺少HTTPS鎖頭圖標,以及顯示「不安全」提示。SSL降級攻擊可通過支持HSTS預加載的網站及您在登入前核實HTTPS的警惕性來加以防範。
第三種方式是惡意孿生強制門戶憑證收集。當您連接到惡意孿生網絡時,攻擊者往往會呈現一個逼真的假冒強制門戶,模仿合法場所網絡的登入頁面。您提交門戶所要求的任何信息——可能包括您的電郵地址、電話號碼,某些情況下甚至是特定服務的憑證。更為複雜的攻擊會通過強制門戶呈現特定服務的假冒登入頁面:一個假冒的「使用Google帳號登入」或「使用匯豐帳號登入」提示,便可通過門戶收集真實的服務憑證。強制門戶釣魚攻擊不需要破解HTTPS——您是在自願向看似合法的攻擊者服務器提交憑證。
VPN是在公共WiFi上保護密碼最有效的單一工具,因為它在流量到達網絡之前對所有流量進行加密,包括憑證提交。攻擊者在開放WiFi網絡上捕獲您的流量,只會得到加密的密文。即使您登入的網站使用HTTP(而非HTTPS),即使攻擊者已建立活躍的中間人位置,您的憑證也已在VPN隧道內加密後才到達網絡,無法被讀取。這正是VPN保護被描述為能抵禦全系列網絡級密碼盜竊方式的原因——加密在應用層協議(HTTP與HTTPS)之下的網絡層運作,使目標網站使用何種協議對攻擊者而言毫無意義。
雙重因素驗證(2FA)在密碼成功被盜時提供關鍵保護。若攻擊者從公共WiFi會話中截獲您的電郵或銀行密碼,2FA可阻止其使用——他們還需要訪問您的第二個驗證因素(手機上的驗證器應用程序、硬件安全密鑰或短信一次性密碼)。對於您在公共WiFi上訪問的帳戶——電郵、社交媒體、銀行、工作系統——應無一例外地在所有帳戶上啟用2FA。即使您的VPN失效、出現DNS洩漏,或您無意中在SSL降級的HTTP網站上提交了憑證,2FA也能顯著限制憑證被盜的損害。攻擊者持有您的密碼,卻無法在沒有第二個驗證因素的情況下訪問您的帳戶,這為您爭取了發現事件並更改密碼的時間。
密碼管理器以兩種方式提升公共WiFi上的密碼安全。其一,它們防止您在模仿合法服務的釣魚網站上輸入密碼:密碼管理器將已保存的憑證與確切的域名URL匹配,不會在假冒網站上自動填寫(例如,不會在與「hsbc.com.hk」不符的「hsbc-secure-login.com」上填寫您的匯豐憑證)。其二,若某個密碼遭到洩露,密碼管理器讓更改變得迅速——您可以更新一個帳戶的密碼而無需記住許多其他密碼,從而實現對憑證盜竊事件的快速響應。為每個帳戶使用唯一密碼(密碼管理器讓這成為可行)確保咖啡廳WiFi會話中洩露的密碼無法在針對您其他帳戶的憑證填充攻擊中被使用。
香港銀行應用程序及網上銀行門戶是公共WiFi上憑證盜竊的主要目標。匯豐、恒生、中銀(香港)、渣打以及主要香港數字銀行均在其登入流程中使用HTTPS並實施了HSTS,對SSL降級攻擊提供了顯著保護。然而,在沒有VPN的情況下使用公共WiFi訪問銀行服務,仍會暴露DNS元數據(揭示您曾訪問銀行網站),並且在您不慎連接到假冒網絡時,仍容易受到惡意孿生門戶攻擊。HKMA網絡安全指引支持的一致建議是:使用流動數據而非公共WiFi訪問銀行應用程序,無論VPN狀態如何。金融憑證遭竊的特定風險,使切換至4G這一輕微不便完全值得。
在公共WiFi上登入工作電郵是針對香港企業的商業電郵詐騙欺詐的記錄途徑。當員工在沒有充分保護的情況下從咖啡廳或酒店WiFi登入Microsoft 365、Google Workspace或公司網頁郵件門戶時,憑證遭竊可使攻擊者訪問企業通訊。商業電郵詐騙(BEC)是香港按財務損失計算的最高價值網絡犯罪類別,香港警方網絡安全及科技罪案調查科定期發布有關BEC事件的警告。可預測的憑證(工作電郵格式往往從公司域名可猜出)與企業電郵訪問的高財務價值相結合,使這成為在金融業員工常聚的中環和金鐘高檔咖啡廳中特別被針對的情境。
「智方便」——香港政府數碼身份平台——及相關政府網上服務(稅務易、電子福利及各部門門戶)包含高度敏感的個人及財務信息。若在遭受入侵的公共WiFi連接上登入「智方便」,攻擊者將獲取極為全面的個人數據概覽。同樣,AlipayHK及其他與銀行帳戶關聯的香港數字錢包,絕不應在沒有VPN的情況下通過公共WiFi訪問。所有香港高風險情境的共同點是,目標帳戶要麼直接包含寶貴的財務資源,要麼是進入這些資源的跳板——使它們成為在香港公共WiFi環境中活躍攻擊者的優先目標。
若您懷疑密碼可能已在公共WiFi會話中被盜——也許您注意到可疑的網絡行為、收到意外的登入通知,或在高風險環境中未使用VPN保護而訪問了敏感帳戶——請迅速而系統地採取行動。立即從可信網絡(家庭WiFi或流動數據)更改遭入侵的密碼,不要拖延——若攻擊者持有密碼,每延誤一小時都是他們使用它的機會。更改密碼後,查看帳戶的登入歷史記錄及活躍會話:大多數主要服務(Google、Apple、Microsoft、Facebook)均顯示近期登入活動,包括設備類型、位置及時間。尋找任何您不認識的會話並終止它們。
檢查遭入侵帳戶的已連接應用程序及OAuth授權。許多帳戶允許第三方應用程序通過OAuth連接——若攻擊者訪問了您的帳戶,他們可能已授權一個惡意應用程序,即使您更改密碼後仍維持訪問。在Google帳戶中:安全性 → 擁有帳戶存取權的第三方應用程式。在Microsoft/Outlook中:myaccount.microsoft.com → 隱私 → 應用程式與服務。在每種情況下,撤銷您不認識的任何應用程序的授權。更改密碼後啟用或確認2FA已啟用——這是防止被盜密碼在未來再次被使用的最重要步驟。若您已啟用2FA,僅更改密碼應足以將不持有您第二個驗證因素的攻擊者鎖定在外。
對於潛在的企業電郵入侵,請立即向機構的IT安全團隊上報,而非嘗試自行解決。IT安全團隊可查看訪問記錄、確認是否有數據外洩、檢查是否創建了任何電郵規則(攻擊者通常會創建規則以將電郵副本轉發至外部地址),並啟動正式的事件響應程序。若您的公司處於受監管行業(金融服務、法律、醫療),即使是疑似事件也可能需要履行數據洩露通報義務。請向香港警方網絡安全及科技罪案調查科的[email protected]舉報疑似BEC,並通過HKPF CyberDefender門戶提交報告。對於銀行憑證遭竊,請立即致電銀行的詐騙熱線——匯豐、恒生及其他主要香港銀行均設有24小時詐騙熱線,專門應對此類情況。
