日前新竹市警方在偵辦信用卡盜刷案件時,發現根據IP位址傳喚到案的嫌犯都是因為所使用的WiFi沒有加密,而被盜用無線網路甚至被側錄信用卡資料後遭盜刷的受害者。警方除了再次提醒民眾家中WiFi要設定嚴謹的安全密碼之外,資安專家也呼籲不要以為所交易的電子商務網站有SSL加密,就放心在公開的無線網路上傳輸信用卡等機密個資。
被盜用無線網路,為何信用卡號、個資也被盜用?資安顧問公司DEVCORE執行長翁浩正表示,WiFi不設密碼除了可讓任何人隨意使用無線網路上網外,在該網內的有心人士也可以透過類似ARP Spoofing (ARP欺騙)的手法,從中側錄該網路中所傳遞的封包。類似中間人攻擊的方式,當使用者A欲透過無線網路閘道器對外連上某電子商務網站並刷卡交易時,其實駭客已在網內中間發出假的ARP請求,所以A所傳遞的封包資料都會到惡意人士手中。儘管許多電子商務網站都有做SSL傳輸加密,這仍然無濟於事。翁浩正進一步指出,也許當下使用者瀏覽器會跳出SSL憑證無效的警告,但多數人會繼續允許交易,並輸入資料,因此所有卡號資料也就被駭客同步竊聽側錄了。
所以,除了趕緊更新你鬆散的WiFi密碼外,不管是進行網路購物或網路銀行,應該要在安全且信任的網路環境,在咖啡店等公開的無線網路上還是小心為妙。