别随便连免费WiFi:黑客能让你的iPhone 自动连上钓鱼WiFi_科技每日推送_传送门
别随便连免费WiFi：黑客能让你的iPhone 自动连上钓鱼WiFi
近年来，越来越多因为蹭免费网络而泄露银行账户密码或者支付宝密码的案件发生，警察蜀黍提醒广大市民注意三点：1.谨慎连接公共WiFi：在机场、星巴克、麦当劳和星级酒店等有免费WiFi的公共场合，不法分子会伪造免费wifi，进行钓鱼犯罪，对此，市民要明察秋毫，问清楚工作人员哪个才是官方wifi才进行连接。2.不要使用手机浏览器登陆手机银行和支付宝：黑客则会引导用户至山寨钓鱼网站，或者设置钓鱼网站，从而获取账号及密码。因此，市民最好通过银行官网网页，或者手机银行客户端登录，这两种渠道均经过了层层加密，黑客想要破解账户信息并不容易。3.手机平板电脑上网最好都设置防火墙。但是，尽管市民都做到以上三点，还是有可能防不胜防，黑客有办法在不知不觉中让你的iPhone、iPad自动连上他的钓鱼WiFi。砖家解释，这是极有可能的：“只要黑客搭建一个你之前就连接过的WiFi，ssid与加密方式与之前一样，这样你的设备搜到该WiFi之后就会自动连接。举个例子，相信大部分人设备都连接过那个没有加密的CMCC，我在你周围搭建一个CMCC无加密的热点，你的设备就会自动连接过来，这样我们就是同一个局域网了，然后就可以获取你的各种隐私了。”而实际上，情况比上文砖家所想象的还要糟糕，还要砖家补充到：“无线设备为了加快连接速度，会对外广播过它连接过什么无线，ssid是多少。如果我截获到了这个广播，我自然能知道你连过什么无线，把这个无线伪造出来，对症下药，请君入瓮。这个过程你完全是不可控的，特别是手机、平板这种设备。如果某天你发现自己的电脑上竟然出现了连接过的所有无线，那么你肯定是被这种蜜罐攻击了。不幸的是，这种情况下手机平板（iphone,ipad）会自动连上去，自动就是放在口袋里面不解锁它也自动连上去了，万幸的是，电脑（至少OS X）不会自动连。”而黑客只需要一个玩意就能做到以上所说的，那就是 wifi pineapple。在一次SXSW（South by Southwest）会议上，Hak5创始人——黑客达伦·凯奇(Darren Kitchen)，发表了有关网络安全的演讲。他在演讲中进行的演示表明，利用专用路由器和一款名为WiFi Pineapple的定制软件可以轻松地窃听不安全的WiFi连接。在演示中，所有在上网的听众都受到了攻击。所以在公共场合中，市民自认为连接到了星级酒店或星巴克的WiFi热点，但实际上他们都受到了WiFi Pineapple的欺骗。目前最新的wifi pineapple已经出到第五代了。只需$99.99，马上抱回家。黑客简直防不胜防，因此，我们除了要注意一开始所提到的3点，我们还有注意以下2点：1.删掉所有无加密的ssid，也就是电脑手机平板在公共场所自动连接一些免费WiFi的时候要忽略这些网络。在咨询工作人员后，重新连接正确的WiFi。2.在不用wifi的情况下关闭wifi连接。避免自动连接黑客建立的钓鱼WiFi。如果觉得麻烦，或者忘记这么做的话，被黑的可能性会很高。砖家说：“连接钓鱼WiFi后，要黑你就比较容易了。ARP一下，嗅探你的网络流量，里面有你的各类隐私，可能就已经可以把你在互联网上的账号黑个遍，这种黑个遍是很多黑客都经历过的。也许直接入侵到你电脑不行，但是通过篡改HTTP响应内容，替换下载文件等间接进入你的电脑。来个猥琐小例子，假如你有百度网盘这类的服务时，知道你百度网盘的账号后，把里面的软件替换为有后门的，然后坐等你以后安装都中招……还有你说路由密码是默认的，好，在有些路由里可以直接抓各类流量，然后专业的包分析工具一分析就都出来了。或者麻烦点，DNS记录修改下，然后照样抓包。”也就是说，当时连接了钓鱼WiFi可能没事，但是黑客会潜伏在你电脑里，等待下手的时机。总结5点：1.谨慎连接公共WiFi2.不要使用手机浏览器登陆手机银行和支付宝3.手机平板电脑上网最好都设置防火墙。4.删掉所有无加密的ssid。5.在不用wifi的情况下关闭wifi连接。最后希望大家知道这些后，传播给你的亲朋好友知道，不要被黑，也不要黑别人。还没关注我们？点击阅读原文一键关注App每日推送！喜欢就转发，爱就要点赞！
觉得不错，分享给更多人看到
科技每日推送 微信二维码
分享这篇文章
10月20日 9:24
科技每日推送 最新文章
科技每日推送 热门文章| 漏洞检测 |
| 隐藏捆绑 |
虚假WiFi钓鱼接入点被偷梁换柱 免费WiFi陷阱无处不在(2)
针对网络上盛传的运营商公共WiFi免费登录卡号和密码（如中国移动卡号：，密码：159258；卡号：，密码：159258）等信息，唐威表示，人们转载上述信息，其实并没有很好地去验证、甄别。实际上
针对网络上盛传的运营商公共WiFi免费登录卡号和密码（如中国移动卡号：，密码：159258；卡号：，密码：159258）等信息，唐威表示，人们转载上述信息，其实并没有很好地去验证、甄别。实际上，这些所谓的免费账号不可信，有些根本不能用，此外，第三方软件发送的免费登录账号和密码存在很大的安全隐患，用户要尽量避免使用。
&蹭网&软件要慎用
否则得不偿失
目前在网络上流传一些可破解WiFi密码的&蹭网&软件。试想一下，如果有一款手机软件声称可以帮您&蹭网&，走到哪儿都有免费WiFi，相信很多人都会对这款软件产生极大的兴趣，更是迫不及待的下载使用。然而这样的&蹭网神器&真的安全吗？看似方便好用的背后难道没有隐患吗？
张姓业内人士告诉记者，&天下没有免费的午餐，蹭网软件背后的风险当然有！只是很多人不知道罢了。看似自己占了别人便宜，实际上真不一定。&
他表示，蹭网软件的原理其实是当你第一次安装并打开这个软件时，在引导页就会自动勾选分享热点，并自动备份，那么用户很可能就在不察觉的情况下选择同意将曾使用的WiFi密码分享到云端。这样当用户回到自己家中，连上自家WiFi的时候，密码就被自动共享出去了，也就是说你蹭了人家的网，同时把自家的网也贡献出去了。
其实，如果说单单是被人蹭网也就算了，更令人担心的是，连接WiFi上后会产生很多安全风险，例如预谋者对连在网络内的手机、电脑等设备进行监控，植入木马和病毒，窃取银行、支付宝等密码。丢了网又丢了财，真的是得不偿失，看来蹭网软件要慎用。
(责任编辑：幽灵学院)
------分隔线----------------------------
1概要本报告描述了以叙利亚反对派为目标，精心策划的恶意软...
跟早两年如火如荼的互联网金融相比，随着问题爆发窗口期与监...
近期，由于Tor项目核心成员的某些不当决策，导致Tor[/b]开发...
国《每日邮报》8月10日报道，俄罗斯网络犯罪团伙日前潜入处...
Bitfinex官网最新公告上周比特币交易所Bitfinex再遭黑客攻击...
进入火热的直播市场本想分一杯羹，然而到了锅跟前，碗却被没...
工作日：9:00-21:00
周　六：9:00-18:00
&&扫一扫关注幽灵学院手机突然连不上wifi，关机重启后又能连上去了，请问怎么回事_百度知道渗透学习（10）
/xuanhun/p/5783836.html
0x00-Fluxion是什么
0x01-Fluxion工作原理
0x02-Kali上安装fluxion
0x03-Fluxion工具使用说明+实战破解wifi
小编在作者PG原稿上斗胆修改，”跪求”原作者赐风油精
0x00-Fluxion是什么
&&&&&& Fluxion是一个无线破解工具，这款软件可以帮你挤掉WiFi主人的网络让你自己登陆进去，而且WiFi主人怎么挤也挤不过你。这个工具有点像是Linset的翻版。但是与Linset比较起来，它有着更多有趣的功能。
0x01-Fluxion工作原理
a.扫描能够接收到的WIFI信号
b.抓取握手包（这一步的目的是为了验证WiFi密码是否正确）
c.使用WEB接口
d.启动一个假的AP实例来模拟原本的接入点
e.然后会生成一个MDK3进程。如果普通用户已经连接到这个WiFi，也会输入WiFi密码
f.随后启动一个模拟的DNS服务器并且抓取所有的DNS请求，会把请求重新定向到一个含有恶意脚本的HOST地址
g.随后会弹出一个窗口提示用户输入正确的WiFi密码
h.用户输入的密码将和第二步抓到的握手包做比较来核实密码是否正确
j.这个程序是自动化运行的，并且能够很快的抓取到WiFi密码
0x02-Kali上安装fluxion
Github地址：
那Kali-linux系统 在Github如何下载：
命令：git&clone
&&&&&&&git是一个分布式的版本控制工具，每一个Git的工作目录都是一个完全独立的代码库，有完整的历史记录和版本追踪能力，不依赖于网络和中心服务器.
&& git clone:&是git简单的一种初始化方式.
&&&举个”栗子”:
&&&已经有一个远程的git版本库，需要下载到本地.
&& git clone&
命令就是将&这个URL地址的远程版，完全克隆到本地.
既然了解完命令接下来就下载：
git&clone&/deltaxflux/fluxion.git
What?咋回事?? ping&&看看能否链接，ping是双向的
到Github官网复制链接：
安装fluxion
ls命令：显示目录列表
cd命令：用来切换工作目录
./:运行脚本
有一些依赖没有安装的，fluxion未成功打开，fluxion也会提醒你安装，图片中红色的字体是需要安装的组件。
当然了也可以使用
apt-get：是一个下载安装软件包的简单命令行接口
apt-get install isc-dhcp-server lighttpd php5-cgi
fluxion下载在之后，不同版本的linux系统来会出现各种安装依赖包不满足的提示，由于无法涉及到所有linux版本，无法具体做实验，所以请网友遇到问题Google，动手实验啦.
0x03-Fluxion工具使用说明
开启之后的截图，这时我们要选择语言，我选择的是2-English
选择语言之后fluxion会让你选择网卡，因为是无线网络，只有一个无线网卡，就选1
之后要选择通信信道，一般都是选择all
选择之后会自动扫描附近的无线AP
我选用的是信号最好的要测试的Huawei（已抹去部分名字），选择好目标之后按ctrl-c停止扫描，按照目标前面的数字序号选中目标就可以了，我这里是18。按r是重新扫描
这里我们选中1—虚假AP
之后这里会碰到一个选项叫你选择握手包的保存路径。你可以直接空格键跳过，这样握手包会保存在默认路径下。
随后选择1，其目的是选择aircrack-ng开始抓取握手包。
随后再选择1，这样会使目标WiFi的用户进行统一的一个分配。
步骤十一：
这个时候开始抓取握手包。一个窗口主要是抓取WPA数据包的，而另外一个窗口是分配数据包的。这个时候我们要等一下，要是wifi是有人使用而且流量较大的话也就1分钟的样子，一般等上个1到3分钟是比较好的。然后我们选中1，如果是握手包的数量不足我们就选中1检查握手包，选项是不会被执行的
步骤十二：
有了握手包之后，我们可以使用字典来猜解密码，但是耗费时间较长，我们这次采用建立虚假AP的方式来骗取密码，所以我们选择1。然后它会叫我们选择语言，我还是选择了英语
步骤十三：
选择完语言后它会开启新的四个控制窗口，并且建立虚假的AP，用户分配等操作。
步骤十四：
这时建立了一个虚假的AP，和真正的AP名字相同，但是没有密码，而且这个时候是没有办法连接到真实的AP的，所以机器会连接到我们做的虚假的AP上。
步骤十五：
打开浏览器，发现我们要输入密码了
如果我们输入的密码是错误的，那么当fluxion验证之后我们还是不能上网，依然是如上图那样的键入密码的页面，当我们输入正确的密码的时候，fluxion会自动结束程序并显示密码以及生成破解日志。程序结束后我们做的虚假AP自然就不见了，这时提交了真实密码的机器会自动连上真实的AP了，作为不知情的人来说，他们可能只是感觉信号不太好，不过后面又可以上网了，一般就没有人去追究了，熟不知自己的wifi密码已经落入他人之手。
Fluxion实战破解wifi到这里就结束了。
如果您喜欢“实战”系列文章，请积极转发，踊跃留言，这是对我们最大的支持。
同时对原创作者PG表示敬意！
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：25972次
积分：1065
积分：1065
排名：千里之外
原创：57篇
转载：172篇
(7)(3)(6)(17)(6)(18)(8)(18)(13)(16)(37)(13)(19)(13)(7)(4)(1)(25)}