機場WiFi安全:在香港國際機場及國際機場保持安全
機場聚集了大量攜帶高價值數據的國際旅客,而這些旅客往往處於匆忙、分心、安全意識較平時薄弱的狀態。香港國際機場的Airport_Free_WiFi SSID廣為人知,是偽孿生攻擊的公認目標。以下是在香港國際機場及其他任何途經機場保持安全的方法。
機場聚集了大量攜帶高價值數據的國際旅客,而這些旅客往往處於匆忙、分心、安全意識較平時薄弱的狀態。香港國際機場的Airport_Free_WiFi SSID廣為人知,是偽孿生攻擊的公認目標。以下是在香港國際機場及其他任何途經機場保持安全的方法。
機場匯聚了多種令其成為WiFi攻擊者首選目標的因素。首先,旅客容易分心:他們要盯著離港顯示板、管理行李、摸索不熟悉的航廈,同時承受旅行壓力。分心會降低安全意識——人們更容易略過警告、在未核實的情況下自動連接熟悉的網絡,或在匆忙中存取敏感資料而忽略平常的防範措施。這種可預測的警覺性下降,正被攻擊者利用,他們往往在旅客久坐等候的登機閘口伺機而動。
其次,機場聚集了攜帶高價值數據的國際旅客。一名剛完成一週會議、準備從香港國際機場出發的商務旅客,其裝置上存有企業電郵、策略文件、財務數據及企業系統的存取憑證。頻繁出行者的裝置上往往存有來自多個司法管轄區的國際銀行憑證、金融帳戶資料及個人身份數據。高價值數據與低警覺性的結合,使登機閘口候機室成為針對性WiFi攻擊最具吸引力的場所之一。潛在受害者的高密度,亦令機會性的金融憑證竊取變得有利可圖——即使不針對特定目標,在繁忙閘口從10至20名分心旅客身上擷取憑證,已具有可觀的犯罪價值。
第三,香港國際機場的Airport_Free_WiFi等機場WiFi網絡的SSID廣為人知。香港國際機場免費WiFi ↗網絡的確切名稱在機場內有所公告,在旅行論壇上廣泛討論,任何常用香港國際機場的人都知道。這個廣為人知的SSID使架設偽孿生網絡變得輕而易舉:攻擊者在航廈內廣播相同SSID並以更強的訊號強度吸引連接,從曾連接過Airport_Free_WiFi的旅客裝置上收集流量。這些自動連接的裝置可能屬於數月前曾連接該網絡並已儲存的頻繁旅客。攻擊者毋須任何社交工程手段——自動連接機制完全被動地完成一切。
香港國際機場在一號及二號客運大樓、海天客運碼頭、機場快綫香港站及相關設施全面提供免費WiFi ↗,SSID為「Airport_Free_WiFi」。此網絡透過強制登入頁面系統運作,需以手機號碼或電郵地址注冊,並輸入一次性驗證碼進行身份認證。該網絡本身為開放式(無WPA2/WPA3密碼),加密依賴強制登入頁面的會話管理,而非WiFi層面的加密。與其他主要機場WiFi系統一樣,它提供互聯網接入,但不設每用戶加密會話。
機場快綫由香港國際機場至香港站及九龍站提供車廂內WiFi,與航廈WiFi分開。機場快綫WiFi通常被認為比免費航廈WiFi管理較佳,因為它在專用基礎設施上運作,並設有受控接入。香港居民及持有八達通或曾使用機場快綫的旅客,其裝置可能已儲存機場快綫WiFi網絡。與所有已儲存的公共網絡一樣,請在非出行期間停用此網絡的自動加入功能。主要電信商——中國移動香港、數碼通、3香港及香港電訊——均在香港國際機場設有電信商熱點,供其用戶自動接入;這些電信商熱點的網絡管理水平略高於一般免費WiFi。
在香港國際機場進行敏感工作,建議做法如下:敏感任務完全不使用Airport_Free_WiFi——改用電信商的4G/5G數據。香港國際機場的室內流動網絡覆蓋優秀,所有主要香港電信商均有覆蓋,大多數國家的漫遊旅客亦可以具競爭力的費率享用數據漫遊(特別是在香港眾多國際數據漫遊安排下)。4G與Airport_Free_WiFi在處理電郵及文件存取等典型商務任務時,速度差異甚微。機場WiFi可用於低敏感度活動:串流娛樂、一般瀏覽及即時通訊應用程式——即使沒有VPN保護,這些活動的安全風險亦在可接受範圍內。
同樣的安全原則適用於國際機場,但風險狀況可能更高,因為你身處陌生環境,數據漫遊覆蓋可能較少,對機場WiFi的依賴程度也可能更高。香港旅客常用的主要機場——東京成田/羽田、新加坡樟宜、首爾仁川、倫敦希思路、杜拜國際機場——均提供免費WiFi,安全配置各有不同。這些網絡均不應在沒有VPN的情況下使用。新加坡樟宜及韓國機場的基礎設施和管理水平往往較佳,但「管理較佳」在大多數公共航廈區域仍意味著沒有每用戶加密的開放WiFi。
在某些國家,機場WiFi網絡可能由政府機構運營或監控,帶來超越一般犯罪攻擊風險的私隱顧慮。這主要是前往已知具有網絡監控做法的特定司法管轄區的旅客需要考慮的問題,而非大多數國際機場的常規顧慮。VPN可同時應對這一顧慮與犯罪攻擊風險:VPN加密的流量,無論網絡營運商的身份或司法管轄區如何,均無法輕易被讀取。確保在前往任何目的地之前,已下載、付費並測試好VPN——某些國家的應用程式商店可能封鎖VPN應用程式的下載,部分網絡亦可能封鎖VPN協議。出發前預先安裝並測試VPN是必要的旅行準備。
在機場USB充電站為裝置充電會帶來另一個風險:「果汁劫持」(juice jacking),即惡意USB充電器或受損充電端口將惡意軟件傳輸至已連接裝置或竊取數據。雖然果汁劫持需要攻擊者進行特定設置,比WiFi攻擊少見,但風險確實存在,已在多個國家的機場有所記錄。請使用自備的交流電充電器,插入標準電源插座,而非公共USB充電端口。如必須使用USB充電端口,請使用「USB數據阻斷器」——一種只傳輸電力、阻斷數據連接的小型轉接器——在香港電子零售商及網上均可低價購得。攜帶輕便的充電寶作為主要解決方案,以完全避免在旅途中使用機場充電站。
出行前:安裝並配置VPN,啟用自動連接功能。從裝置中刪除所有已儲存的機場WiFi網絡(過去的Airport_Free_WiFi連接、歷次旅行中的國際機場網絡)。在手機和手提電腦上均啟用VPN自動連接。確認VPN訂閱有效且未過期——在機場才處理訂閱續期並不理想。如需出境,請在手機計劃上啟用國際數據漫遊——中國移動香港、數碼通、3香港及香港電訊均提供國際數據附加服務,許多計劃已包含部分國際數據。下載離線內容(地圖、文件、娛樂)以減少途中對WiFi的依賴。
在機場期間:所有敏感活動(電郵、銀行、工作系統)均使用4G/5G流動數據。娛樂及一般瀏覽在啟用VPN的情況下可使用機場WiFi。連接機場WiFi時,請對照航廈內的官方指示牌核實SSID——不要連接與官方公告名稱有絲毫差異的網絡。如機場提供多個WiFi選項(機場自有網絡、電信商熱點、貴賓室網絡),優先選擇電信商熱點(管理較佳)或貴賓室網絡(設有存取控制)。切勿自動連接機場網絡——每次均手動連接並核實名稱。使用自備交流電充電器和電源插座,而非USB充電站。
旅行結束後:從所有裝置的已儲存網絡清單中刪除機場WiFi網絡。查看銀行應用程式,檢查旅行期間發生的所有交易,如發現可疑情況立即舉報。若在旅途中使用公共WiFi時出現任何異常(意外的憑證警告、WiFi斷線、不明原因的重定向),請在家中受信任的網絡上更改重要帳戶的密碼。檢查裝置是否有在旅途中安裝的不明應用程式或軟件——惡意軟件可能透過受損的酒店或會議WiFi植入。國際出行後快速檢查已安裝的應用程式是良好的安全習慣,在網絡威脅環境較高的目的地旅行後尤為重要。
