去年秋天,一家做跨境电商的杭州公司海外团队在泰国曼谷的一家国际连锁酒店入住时,遭遇了一次典型的网络攻击。团队里有人用酒店Wi-Fi登录了公司的ERP系统,第二天就发现后台有人用他们登录的session信息绕过了两道验证,下载了大量的客户订单数据。调查后发现,酒店的Wi-Fi网络虽然挂了国际连锁品牌的名字,但内部的分段做得非常差,住在同一家酒店的攻击者可以轻易进行ARP欺骗,截获同一网段下的明文流量。
国际酒店的Wi-Fi安全问题比大多数人想象的要严重。核心原因有三点:首要,酒店网络服务的对象是流动性极大的住客,准入控制不可能太严格,导致攻击者可以轻易入住并接入同一网络;第二,酒店的网络基础设施水平参差不齐,很多酒店使用的是最低成本的商用路由器,缺少企业级的安全功能;第三,大多数住客对酒店Wi-Fi过于信任,以为收费的就是安全的,或者以为门口贴着Logo就是官方的。
连接酒店Wi-Fi的首要步是确认官方网络的准确名称。正规酒店的官方网络名称通常会贴在房卡套上、前台旁边的告示牌上或者房间内的欢迎册里。不要想当然地认为排在Wi-Fi列表首要个的就是官方的,也不要只看信号强度。攻击者用一个信号强一点的随身Wi-Fi架设一个叫"Hotel_Free_WiFi"或者"Marriott_Free"的热点,就能钓到大量用户。确认方法是到前台直接问工作人员,让他们写在纸上给你。
确认网络名称之后还有一个关键操作:关闭设备的自动连接功能。手机和笔记本电脑上保存的每一组Wi-Fi名称,在下次遇到同名网络时会自动连接。如果你之前在某个叫"Airport_Free"的网络上连过一次,那么以后在任何地方遇到同名热点都会自动连上,这给钓鱼热点大开方便之门。出差的正确做法是除了自己确认过的官方网络之外,手动忘记所有其他网络,并且关闭自动连接。
VPN是酒店Wi-Fi场景下的必备工具。VPN的工作原理是在设备和目标服务器之间建立一条加密隧道,即使流量被截获,攻击者看到的也是密文。企业自建VPN是推荐方案,由IT部门在总部架设VPN服务器,出差人员通过客户端连接,所有的公司流量都走这条加密通道回到国内再访问互联网。这样做的好处是不光加密了传输数据,还能像在国内一样使用公司的内网资源。
如果企业没有自建VPN,商用VPN服务也是一个选择。但选择商用VPN有几个注意事项:服务商所在国的数据保护法律是什么级别的?服务商是否记录使用日志?服务的加密协议是否支持近期的WireGuard或者OpenVPN标准?不要只看价格,有些廉价的VPN服务商本身就是数据中介,一边卖VPN服务一边把用户的访问数据卖给第三方。
酒店Wi-Fi还有一个被人忽视的问题:DNS劫持。酒店网络可以通过路由器控制DNS解析,把某些广告页面替换成自己的内容,甚至把一些网站的合法IP解析到钓鱼服务器。开启VPN可以绕过酒店的DNS设置,因为VPN连接建立后DNS请求也在加密隧道里传输。另外也可以手动将设备的DNS设置为加密DNS,比如Cloudflare的1.1.1.1或者Google的8.8.8.8,但这个方法在部分需要认证的酒店Wi-Fi上可能无法正常工作。
如果房间里有有线网口,建议优先使用有线网络。有线网接入虽然在速度上限上不比Wi-Fi快,但稳定性和安全性都更高,因为攻击者要接入有线网络需要物理接触到交换机才能进行监听,攻击门槛远比Wi-Fi高。很多酒店的书桌旁边都预留了RJ45网口,出发前带一根短网线放在行李箱里,可能就派得上用场。
酒店商务中心的电脑和网络坚决不能用。这些公共电脑通常没有经过安全加固,可能被安装了键盘记录器或者远控软件。如果需要打印或者复印文件,可以把文件传到自己的设备上用无线打印功能发送,或者让前台帮忙处理。不管多不方便,都不要在酒店的公共设备上登录任何私人账号。
