点击上面蓝色字 即可免费订阅！

微信名（微信号：请填写您的微信号）

央视新闻一条微博指出：【无线WiFi莫乱蹭 当心银行卡被盗刷】配置一个公共钓鱼的免费WiFi，一套无线路由器，黑客就可轻松窃取上网用户的网银密码、账号。手机专家提醒：小米2、三星Galaxy S4、谷歌的Nexus4及华为、联想等手机机型皆存在易被攻击的安全漏洞!假期出游，尽量不要用免费WiFi进网银、支付宝!扩散提醒!

是真是假，来看看知乎上的技术大拿是怎么解释的!

用商家提供的免费 Wi-Fi 上网购物和操作网银安全吗?

不安全。

你会用那些免费 Wi-Fi 上网购物和操作网银吗?

有可能。不过我会准备一张银行卡专门用于这种情形下的网络购物，这张卡余额不会超过 1000 元，并使用和其它银行卡完全不同的密码。

明知不安全你还用?

如我在《安全风险漫谈之一：后门和借钱》中所述，处理不同价值的资产时，对风险的态度是不一样的。通过控制风险涉及的资产价值，可以实现方便和安全之间的平衡。不因噎废食，也不因食忘噎。

免费 Wi-Fi 为什么不安全?

很多免费 Wi-Fi 传输都不加密，加密的那些密码也很容易得到——问店员。最重要的是：当你接入一个叫“Starbucks”的接入点时，你无法确认这是星巴克提供的，还是猩疤客提供的。需要强调的是：这些是 Wi-Fi 的通病，免费不免费都一样存在这些问题。

网银不是都 HTTPS 通信吗? HTTPS 不是安全的吗?

网银不是有“U 盾”吗?用“U 盾”还不安全吗?

这类问题大概相当于“穿防弹衣还会被枪打死吗”?

HTTPS 是一个大概念，其中包含了若干种算法和子协议，这些算法和子协议中的某些已经被找到了攻击方法。例如 BEAST、CRIME、Padding、Lucky 13 等技术。

设计的理想和实现的完美是两回事。据我们测试，特别是一些手机上的浏览器，在 HTTPS 的具体实现上有比较严重的问题，很容易受到攻击。

最重要的是：攻击网银根本用不着和 HTTPS 或是 U 盾直接对抗。

面对一座固若金汤的城池，只能硬拼强攻?攻击者的目标并非突破城墙，而是进入城内。所以三千年前希腊人就选择了另一条路，让认为自己有 HTTPS 和 U 盾就可高枕无忧的特洛伊人吃了一惊，然后把他们都杀了。

当你连接了一个“猩疤客”的 Wi-Fi 接入点，攻击者有非常非常多的方法在你的系统上植入木马(就像 3000 年前希腊人干的那样)。

而在系统被植入的木马控制后，当希腊士兵藏在木马里进入特洛伊城之后，一切就是另一回事了。

我们协助某银行处理过一个案件：用户在使用了 U 盾的情况下，通过网银被盗转近百万元。这事没有公开报道，我也不能透露具体犯罪手段，不能提供当事人姓名联系方式家庭住址等细节来证明真有其事，我甚至都不能告诉你是哪家银行，因为要替客户保密。不过，如果公开报道可以让你相信此事——2011 年 4 月 15 日《新京报》第 A14 版刊载过一起案件：某用户在使用了 U 盾的情况下，被盗转 30 万元。

如需要看更多案例请搜索关键字“U 盾 + 仍被盗”。

注 1：前些年我们和国内一些银行合作，对网银安全进行过长时间的研究，结论是：至少对当时的网银来说，攻击者入侵用户电脑后，在有 U 盾的情况下仍然可以实现盗取。银行后来根据我们提交的报告进行了改进，现在好多了。譬如在使用了有显示屏和按键的新型 U 盾后，类似前面提到的《新京报》所刊载那起案件中的犯罪手法就无效了。

注 2：“U 盾”是用于身份认证的有存储数字证书等安全功能的 USB 安全设备的俗称之一，本文中泛指所有此类设备。