香港咖啡廳WiFi安全:Pret、Starbucks、Pacific Coffee
在咖啡廳工作是香港的一種生活方式。但咖啡廳WiFi網絡是開放、共用且未加密的——正是攻擊者設局的環境。以下是潛在風險、不同連鎖咖啡廳之間的差異,以及在咖啡廳WiFi上應做和不應做的事。
在咖啡廳工作是香港的一種生活方式。但咖啡廳WiFi網絡是開放、共用且未加密的——正是攻擊者設局的環境。以下是潛在風險、不同連鎖咖啡廳之間的差異,以及在咖啡廳WiFi上應做和不應做的事。
咖啡廳吸引了一批對攻擊者極具價值的人群:在網絡上長時間駐留並執行高價值任務(如存取企業系統、處理金融交易及維護商業通信)的筆記型電腦工作者。與短暫的港鐵站連接不同,咖啡廳會話可能持續兩至四小時——讓攻擊者有充裕的時間識別高價值目標、監控流量模式,並把握時機在高價值活動期間發動攻擊。中環、金鐘及銅鑼灣香港咖啡廳中商務人士、自由工作者及遠程工作者的組合,形成了一批值得攻擊者投入的集中目標群體。
香港的咖啡廳WiFi網絡幾乎無一例外地是開放式(無WPA2/WPA3密碼),或使用張貼在牆上或印在收據上的單一共享密碼。開放式網絡在無線電層面完全沒有WiFi加密——所有流量以明文傳輸。即使是受密碼保護的共享網絡也提供有限保護:任何持有公示密碼的顧客都可能對同一網絡上的其他顧客發動攻擊。主要連鎖店的網絡名稱(SSID)廣為人知——「Starbucks WiFi」、「Pacific Coffee」、「Pret」——使在這些連鎖店所在的任何地點架設偽孿生網絡變得輕而易舉。攻擊者可以坐在咖啡廳內,架設廣播相同SSID的更強接入點,擷取其他自動連接到熟悉網絡名稱的顧客的連接。
咖啡廳的物理環境還帶來超越網絡攻擊的額外風險。肩窺——從附近讀取你的屏幕——在香港咖啡廳典型的密集座位安排中是一個被低估的威脅。敏感文件、正在輸入的密碼、電郵內容及商業資訊,對任何附近就座或從你身後走過的人都一覽無遺。這不是網絡攻擊,但在咖啡廳環境中代表著真實的信息安全風險。在筆記型電腦上使用屏幕私隱保護貼——一種限制視角只對正前方人可見的薄膜——可解決肩窺風險。這對於定期在公共場所處理敏感商業資訊的咖啡廳常客尤為重要。
香港Starbucks WiFi透過場地自有網絡和電信商合作伙伴關係的組合運作。香港大多數Starbucks門店使用開放式WiFi網絡(無密碼)配以簡單的強制登入頁面,或使用WiFi.HK網絡。不同地點的網絡架構各有差異——中環辦公大樓內的部分Starbucks可能享有建築基礎設施提供的管理較佳的網絡,而獨立Starbucks門店則使用較簡單的設置。使用的SSID因地點而異,但通常包括「Starbucks WiFi」或相關變體。與所有開放式咖啡廳網絡一樣,沒有WiFi層面的加密。中環和金鐘附近被辦公大樓商務用戶頻繁光顧的Starbucks門店,由於高價值用戶密度大,是針對性攻擊的特別有吸引力的目標。
本地連鎖Pacific Coffee同樣在大多數門店使用開放式WiFi網絡。Pacific Coffee各分店的SSID可識別且一致——使其易於被偽孿生攻擊仿冒。國際金融中心、太古廣場及其他甲級辦公大樓美食廣場的Pacific Coffee門店,吸引了可能在午餐時間或會議間隙存取商業系統的企業員工。許多Pacific Coffee門店的共用座位安排也帶來較高的肩窺風險。Pret a Manger及在香港經營的其他國際連鎖店遵循類似的開放網絡模式,WiFi配置通常由各個門店自行管理,而非集中管理。
香港的獨立和本地咖啡廳(上環、深水埗、堅尼地城及其他新興社區眾多的個人咖啡店)的網絡配置差異很大。有些使用簡單的消費級WiFi路由器,沒有專業管理;有些則使用建築WiFi基礎設施。消費級路由器更可能使用帶有已知漏洞的過時固件。然而,獨立咖啡廳同時連接的用戶往往較少,在一定程度上降低了攻擊面密度。小型獨立咖啡廳的SSID因知名度較低,被仿冒的可能性較小——但其底層網絡安全通常比品牌連鎖店更薄弱。
在啟用VPN的情況下,咖啡廳WiFi適合廣泛的工作和個人活動。即使沒有VPN,透過HTTPS網站閱讀新聞和一般瀏覽風險較低,但加上VPN後便足夠安全,可用於除最敏感任務以外的一切。有VPN:電郵(包括工作電郵)、生產力應用程式(Google Workspace、Microsoft 365、Notion)、內容不高度機密的視頻通話,以及雲端儲存存取均可接受。VPN在流量到達咖啡廳網絡之前便將其加密,使竊聽和中間人攻擊失效。即使有VPN,在咖啡廳WiFi上仍然風險較高的活動,是為極高價值帳戶輸入憑證——銀行、企業管理員帳戶、域名注冊商——因為VPN可防禦網絡層面的攻擊,但不能防禦裝置上的釣魚攻擊或鍵盤記錄器。
沒有VPN時,咖啡廳活動的風險狀況發生顯著變化。沒有VPN時,應避免:登入任何你不希望會話被看到的帳戶、在任何網站(即使是HTTPS網站,因為HTTPS仍有缺口)提交個人資訊表單、存取帶有商業數據的工作系統,以及下載或上傳敏感文件。沒有VPN在開放咖啡廳網絡上,DNS查詢以明文傳輸(即使在HTTPS連接上也揭示了所訪問的網站),任何未加密的流量均完全可讀。僅使用HTTPS流量且沒有VPN時,內容是加密的,但元數據(訪問哪些網站、何時訪問、數據量)是可見的。對於隨意瀏覽,這是可以接受的;對於任何專業或敏感活動,則不然。
無論VPN狀態如何,在咖啡廳WiFi上應完全避免的特定活動:銀行和金融交易(改用流動數據)、在咖啡廳WiFi上輸入企業VPN憑證(用流動數據建立企業VPN連接)、安裝軟件或更新(在不受保護的網絡上存在惡意軟件注入風險),以及使用咖啡廳網絡打印機(咖啡廳網絡上的打印機連接可能將文件暴露給其他網絡用戶)。如果你定期在咖啡廳工作並需要存取企業系統,請建立一個操作流程:連接咖啡廳WiFi,立即啟用個人VPN,然後透過個人VPN連接企業VPN。這種分層加密(個人VPN + 企業VPN)為在咖啡廳環境中進行企業存取提供了強大的保護。
在首次咖啡廳作業前進行五分鐘的安全設置,可在以後每次到訪時以最少的持續操作提供保護。首先,安裝並配置帶有自動連接功能的VPN應用程式,對公共網絡啟用自動連接(NordVPN、ExpressVPN、Mullvad或ProtonVPN)。自動連接功能確保你加入任何咖啡廳網絡的瞬間保護便自動激活——無需手動操作。其次,確保你的Windows網絡設置為「公用」模式:當Windows偵測到新的WiFi網絡時,會詢問是否設置為「公用」或「私人」——在咖啡廳始終選擇「公用」。在macOS上,在「系統設定」→「一般」→「共享」中停用「檔案共享」和「屏幕共享」。第三,確認防火牆已啟用:Windows上的Windows Defender防火牆,或macOS上在「系統設定」→「網絡」→「防火牆」中的內置防火牆。
對於頻繁光顧同一咖啡廳的筆記型電腦工作者,有一種為了自動連接方便而儲存咖啡廳WiFi網絡的誘惑。請抵制這種誘惑:將咖啡廳SSID儲存為自動連接,會在該咖啡廳及任何其他廣播相同SSID的地點製造偽孿生攻擊漏洞。改為每次到訪時手動連接,對照咖啡廳WiFi通知(或詢問工作人員)核實SSID,讓VPN自動處理保護。這比自動連接稍費時間,但消除了自動連接到仿冒網絡的風險。如果你確實儲存了網絡,請確保停用自動加入:設定→WiFi→點擊咖啡廳網絡旁的「ⓘ」→自動加入:關閉。
如果你在香港咖啡廳定期進行敏感工作,可考慮投資購買USB-C或HDMI屏幕私隱保護貼。這種偏光保護貼將顯示屏的可視角度限制在正前方約60度,使從側面觀看的人感覺屏幕一片漆黑。高品質私隱保護貼來自3M等知名品牌,在香港的電子零售商(灣仔電腦中心、豐澤及百老匯)均有售。保護貼是一次性投資,無需任何持續設置或記得使用,便可在每次咖啡廳到訪時持續防禦肩窺。對於在公共場所處理機密客戶資訊、內部策略文件或敏感個人事務的工作者,私隱保護貼是一種低成本、高價值的安全工具。
