如何防范公共WiFi安全风险？

咖啡店、机场或酒店的免费WiFi看似便利，却常常隐藏着流量劫持、凭证抓取等隐蔽攻击。一次在机场候机时，笔记本弹出“登录热点”提示，若不加甄别，可能瞬间把所有明文请求交给旁边的嗅探设备。

公共WiFi的常见威胁

攻击者利用伪基站或“钓鱼热点”复制合法网络名称，诱导用户自动连接；随后在同一局域网内部署ARP欺骗、DNS劫持或SSL剥离，使浏览器的HTTPS链接被降级为HTTP，从而窃取账号密码。根据2023年Ponemon报告，因公共WiFi泄露导致的平均损失高达2.4万美元。

防御措施

• 关闭自动连接：系统设置里关闭“自动加入已知网络”，每次出现新SSID时手动确认。
• 启用VPN：在不可信网络下启动企业级或可信赖的个人VPN，所有流量经过加密隧道后再访问外部服务。
• 强制HTTPS：在浏览器插件或安全策略中开启“HTTPS‑Only”，即使站点未声明也尝试加密连接。
• 禁用文件共享：临时网络环境下关闭SMB、AirDrop等本地共享服务，防止被局域网探测。
• 使用二次验证：对重要账户开启短信或APP验证码，即使密码被截获也难以登录。

实战案例

去年冬季，某连锁咖啡店的免费WiFi被黑客设置了同名热点。用户A在登录网关页面输入了公司邮箱密码，随后收到异常登录提醒。事后安全团队通过抓包发现，攻击者在网关后部署了sslstrip，将https://mail.example.com降级为http，导致凭证被明文传输。若A当时已开启VPN或使用HTTPS‑Only，该攻击便会在流量加密层失效。