隨著“大菠蘿”、Flipperzero等WiFi黑客硬件的流行，在機場、航班、酒店、辦公樓等公共場所架設惡意WiFi熱點竊取隱私數據的“惡作劇”越來越多，這種行為是否“可刑”?

　　近日，澳大利亞聯邦警察(AFP)指控一名澳大利亞男子在珀斯、墨爾本和阿德萊德的多趟國內航班和機場實施“惡意雙胞胎”WiFi攻擊，竊取他人的電子郵件或社交媒體賬號。

　　警方在2024年4月接到航空公司員工的報告后開始調查，并在檢查其在機場被扣押的設備后，發現了該男子從事網絡間諜活動的證據。

　　“惡意雙胞胎”WiFi攻擊

　　“惡意雙胞胎”WiFi網絡指惡意或假冒的無線接入點，使用與特定區域合法WiFi網絡相同的SSID(WiFi網絡名稱)。例如，許多航班提供機上WiFi服務，要求乘客首先連接到航空公司的WiFi網絡。

　　網絡犯罪分子進行“惡意雙胞胎”攻擊時，會首先設置一個自己控制的WiFi網絡，使用與航空公司WiFi網絡相同的名稱(信號甚至更強)。試圖連接到這些惡意接入點的用戶會被引導到一個假登錄頁面(釣魚網頁)，要求他們使用電子郵件地址、密碼或其他憑證登錄。

　　澳大利亞警方表示，這名被捕的澳大利亞男子使用便攜WiFi設備在多個地點創建免費WiFi接入點，要求用戶使用其電子郵件或社交媒體賬戶登錄。該男子收集了這些信息，隨后可用于訪問更敏感的數據、劫持社交媒體賬戶、敲詐受害者或將其出售給其他網絡犯罪分子。

　　“AFP網絡犯罪調查員已確定與珀斯、墨爾本和阿德萊德機場的欺詐性WiFi頁面使用相關的數據，作案地點除澳洲國內航班外，還包括該男子離職前的工作地點。”AFP透露。

　　最高可判23年

　　目前，關于該男子利用所竊取信息從事非法活動的調查仍在進行中。該嫌疑人面臨的刑事指控包括：

　　●未經授權干擾電子通信，最高可判處10年監禁。

　　●持有意圖實施嚴重犯罪的數據，最高可判處3年監禁。

　　●未經授權訪問或修改受限制數據，最高可判處2年監禁。

　　●不誠實地獲取或處理個人財務信息，最高可判處5年監禁。

　　●持有意圖實施犯罪的身份信息，最高可判處3年監禁。

　　上述罪名如果全部成立，該嫌疑人面臨的最高刑期將長達23年。

　　公眾場所使用WiFi安全需知

　　在公共場所，惡意或不可信的WiFi接入點是最常見的風險之一，需要使用此類網絡的用戶應謹慎分享其他登錄憑證。專家建議在不可信的WiFi網絡上關閉文件共享，并使用VPN加密互聯網流量，防止敏感信息被捕獲。

　　網絡安全研究員Daniel Card認為，網絡犯罪分子極少使用“惡意雙胞胎”WiFi攻擊，大多數人無需為此擔心。

　　“這種攻擊完全可能，我們在實驗室中以及安全測試/培訓中都會進行這種攻擊，但在現實世界中很少見到，”Card在接受BleepingComputer采訪時表示：“這屬于近距離的網絡釣魚。除了在黑客會議上作為演示/玩笑/比賽使用外，我處理過的所有黑客事件中都未曾見過或聽說過這種攻擊。”

　　不過，Card提到2018年被起訴的俄羅斯國家黑客組織GRU曾實施“惡意雙胞胎”攻擊以監控目標的互聯網流量。

　　Card認為，告訴人們不要使用WiFi是不現實的，因為在長途旅行中使用無線網絡對員工和學生來說至關重要。他認為，用戶名和密碼是有缺陷的認證機制，因此需要多因素認證(MFA)和強大的安全標準來保護我們的賬戶。