用公共WiFi上网会危害银行账户安全吗?

投稿人/来源: 新浪博客 | 2014-10-06 23:50 | WiFi

【奥卡姆剃刀/文】

用公共WiFi上网会危害银行账户安全吗?【第二版】

文章题目为何会有【第二版】?是因为2012年春节期间就写过文章分析过这个问题:http://songshuhui.net/archives/66051 但是,各种似是而非的说法却从未停止,10月3日我与国内一线的安全专家进行了一整天的争论,对这个问题有了更清晰的认识,有必要做个总结。

2012年春节期间,有感于“伪造wifi窃取银行卡密吗”说法的泛滥,我做了一点研究,发现当时手机普遍不支持遵循https的“网络银行”,使用的是WAP协议的“手机银行”。不支持用手机通过上网的方式访问银行网站,而且因为手机操作系统的原因,不能安装网银的安全控件,无论苹果、安卓、还是当时还存在的塞班,统统都不支持这个控件,根本就安装不了,帐号自然无法输入,被盗取更是毫无可能。所以说,网上的说法是不靠谱的流言。

后来对各大银行的手机支付进行再调研,发现招商银行在2012年时已经率先使用支持https的“网络银行”了,因为https是非常安全的协议,是不会被窃密的。但是,这个流言传播的非常广泛,也有@科技新一 这样的内行指正,但基本没有影响。我不禁要问:国内的信息安全专家呢?他们为什么不说说话,消除公众不必要的恐慌呢?

用公共WiFi上网会危害银行账户安全吗?【第二版】

用公共WiFi上网会危害银行账户安全吗?【第二版】

账户被盗的案例以前有不少,主要原因是访问了钓鱼网站,骗子们伪装成正规的银行页面或是支付页面,骗取你输入的帐户名和密码,而这未必一定需要通过WiFi热点这种方式来实现,任何上网的方式都有可能上当。只不过是公共的WiFi确实提供了植入钓鱼网站的潜力,利用ARP欺骗,可以在用户浏览网站时植入一段HTML代码,使其自动跳转到钓鱼网站。从这个角度说,公共WiFi网络为用户提供了一个便利的钓鱼环境而已。

实际上,用电脑上网进行支付时,都会转到银行或支付宝页面,URL框中的【http】会变成【https】,而且会多了一个小挂锁,以工行为例,2012年时挂锁是黄色的在右边,现在是绿色的在左边,点击小挂锁,会出现安全证书,这种环境下的资金操作是安全的,公众可以放心。

用公共WiFi上网会危害银行账户安全吗?【第二版】

2012年工商银行页面 

2014年工商银行页面

问题来了,如何才能进入到这种安全环境呢?上面介绍的核实【https】和小挂锁是个好方法的,但却不是所有人都知道的,不必担心,各大银行都发布了分别用于手机和电脑的网银客户端,只要在这种银行提供的客户端操作,就不必担心被坑。因此,公众更关注的应该是使用的是否是银行提供的客户端,而不是wifi问题。

跟信息安全专家们争论,他们提出了更种高大上的欺骗方法,实际上还是钓鱼那老一套,简单地说,就是骗你不使用银行提供的客户端,因为他们伪造不了【https】和安全证书,骗子千变万化,我有一定之规,那就是使用银行提供的客户端。据我粗浅的了解,未发现一例使用银行提供的客户端操作还被骗了的案例,当然,脑子糊涂主动给骗子转帐的不算。

我在大学里主讲过《信息安全与保密》课程,第一节课就会讲一个道理--“世界上就不存在100%安全的系统,但很多系统是足够安全的”。采用https协议的银行网银客户端就是足够安全的,但理论上也未必是100%安全的,不排除有高级安全专家通过复杂操作找到漏洞的可能性,但这对公众安全来说没有意义。

为什么说没有意义呢?不妨设想一种可能,黑社会打手半夜撞进你家,抢走你的山寨手机后全身而退,这种能力他们应该有,但你肯定不会为此而担心,因为黑社会不会为个破手机而浪费如此大的资源。同理,一个跻身顶级安全专家圈子的富翁,在公共场所猫着大海捞针地算计着陌生人群的银行卡,好不容易搞定一个,里面只有250块。

汽车干扰器也是这个道理,我关注这个问题也很久了,小偷使用的是非常简单的定频压制性干扰器,令锁车信号失灵,然后伺机上车盗窃。也有报道说,是车锁好后小偷用万能钥匙打开的,这其实是不可能的,因为频段有多个,而且普遍是滚码,虽然理论上高级无线专家有可能搞定,但他绝不会干这种得不偿失的事。

前阵子在京召开的安全大会有个开车门的演示,但那有个把原车钥匙近距离复制的过程,现实生活中,一个陌生人借你的车钥匙用一会,你肯定不会借吧?之所以被窃车主坚称锁好车后被窃,那是想免责罢了。资金损失后抱怨wifi的,多是自己脑子犯了糊涂,又不好意思承认,把责任赖到信息通道方面了。还有的被陌生人骗了钱后不好意思承认自己糊涂,说中了迷烟云云,这种人有不少。

只要你使用网银客户商,再高明的骗子也是难以盗取你的卡密的,而实际上使用客户端已经是用户的普遍选择,央视称很容易获取帐号和卡密,这种说法当然是错误的。令我遗憾的是,当我指出这个错误后,却造到了信息安全圈子的围攻。

与他们的讨论一开始就歪了,他们的说法是X哥多牛逼,他就能破云云。即使X哥真的能破,顶级专家也不会干这种得不偿失的违法之事,关键的问题在于:X哥的这种能力是否已经成为了危害公众资金安全的一种犯罪方式,答案是显示没有。

有年轻的知名信息安全专家跟我打赌,据说还是个搞奥运会信息安全的,有个懂行不信邪的网友拍出十万,请他到万达广场黑了这些钱,这位专家却退缩了,事后他也承认,只是有可能成功而已。在我看来,只要这位出钱的网友使用客户端操作,这个专家成功的可能性根本就没有。

这位专家为了面子,搞了个视频出来,好像很厉害的样子,又引来一些人的惊呼,很多人感叹“招商银行客户端居然是明文传输”,而这位专家不承认也不否认,这种对公众不坦诚的态度令我不屑,他绝对不敢认可这种说法,因为招商银行可能会告他诽谤,但又不否认,任由这种误解流传。

在争论中,遇到很多对信息安全无知的网友,他们对这些安全专家非常崇拜,甚至把专家不敢去万达的原因归结为黑客不能曝光,好像他们是武林隐士一般,其实他们根本不是什么见不得人的黑客,而是有名号很体面的信息安全工作者,IT人士的一种而已。

一些网友留言表示,搞信息安全的就是靠吓唬人吃饭的,这是他们长久以来的陋习,这种说法是不少人的看法,我不做评价。昨天我跟不少一线的信息安全专家对了话,他们说了很多DNS劫持、规避SSL等术语,并伴随着对我的冷嘲热讽,但我只要咬定问一句:我使用网银客户端,你还能窃我卡密吗?结果都不作声了,无一例外。

昨天的讨论其实少了重要的一方,那就是银行的信息安全专家。很多网友说起窃密来头头是道的样子,好像有一万种方法能偷银行卡的钱,但基本都是“把冰箱门打开,把大象放进去,把冰箱门关上”的路子,好像银行的信息安全专家都是白痴一样。

实际上,银行的信息安全专家才是顶级的,网上喷子们想的招数,人家早就处理好了。即使这些喷子们非常崇拜的信息安全专家们,他们整天对银行系统的测试,其实是对系统更强健的有力帮助,魔高一尺,道高一丈,现在的银行安全比以前更强健了,银行卡犯罪的门槛越来越高了。

我的建议:使用银行的客户端,不必在意非银行系统提供的安全保护,网银支付的银行卡里钱不要多,万把块就够了,还有最后一条适用我自己:现在很多公共场所都提供wifi,我本人使用起来毫不顾忌,网上支付照搞不误,反正我不信那个邪。

特别声明:最后一条建议只是我的选择,不为这个说法向他人负责。