(电子商务研究中心讯)　　央视新闻一条微博指出：【无线WiFi莫乱蹭当心银行卡被盗刷】配置一个公共钓鱼的免费WiFi，一套无线路由器，黑客就可轻松窃取上网用户的网银密码、账号。手机专家提醒：小米2、三星Galaxy S4、谷歌的Nexus4及华为、联想等手机机型皆存在易被攻击的安全漏洞!假期出游，尽量不要用免费WiFi进网银、支付宝!扩散提醒!

　　是真是假，来看看知乎上的技术大拿是怎么解释的!

　　用商家提供的免费Wi-Fi上网购物和操作网银安全吗?

　　不安全。

　　你会用那些免费Wi-Fi上网购物和操作网银吗?

　　有可能。不过我会准备一张银行卡专门用于这种情形下的网络购物，这张卡余额不会超过1000元，并使用和其它银行卡完全不同的密码。

　　明知不安全你还用?

　　如我在《安全风险漫谈之一：后门和借钱》中所述，处理不同价值的资产时，对风险的态度是不一样的。通过控制风险涉及的资产价值，可以实现方便和安全之间的平衡。不因噎废食，也不因食忘噎。

　　免费Wi-Fi为什么不安全?

　　很多免费Wi-Fi传输都不加密，加密的那些密码也很容易得到——问店员。最重要的是：当你接入一个叫“Starbucks”的接入点时，你无法确认这是星巴克提供的，还是猩疤客提供的。需要强调的是：这些是Wi-Fi的通病，免费不免费都一样存在这些问题。

　　网银不是都HTTPS通信吗? HTTPS不是安全的吗?

　　网银不是有“U盾”吗?用“U盾”还不安全吗?

　　这类问题大概相当于“穿防弹衣还会被枪打死吗”?

　　HTTPS是一个大概念，其中包含了若干种算法和子协议，这些算法和子协议中的某些已经被找到了攻击方法。例如BEAST、CRIME、Padding、Lucky 13等技术。

　　设计的理想和实现的完美是两回事。据我们测试，特别是一些手机上的浏览器，在HTTPS的具体实现上有比较严重的问题，很容易受到攻击。

　　最重要的是：攻击网银根本用不着和HTTPS或是U盾直接对抗。

　　面对一座固若金汤的城池，只能硬拼强攻?攻击者的目标并非突破城墙，而是进入城内。所以三千年前希腊人就选择了另一条路，让认为自己有HTTPS和U盾就可高枕无忧的特洛伊人吃了一惊，然后把他们都杀了。

　　当你连接了一个“猩疤客”的Wi-Fi接入点，攻击者有非常非常多的方法在你的系统上植入木马(就像3000年前希腊人干的那样)。

　　而在系统被植入的木马控制后，当希腊士兵藏在木马里进入特洛伊城之后，一切就是另一回事了。

　　我们协助某银行处理过一个案件：用户在使用了U盾的情况下，通过网银被盗转近百万元。这事没有公开报道，我也不能透露具体犯罪手段，不能提供当事人姓名联系方式家庭住址等细节来证明真有其事，我甚至都不能告诉你是哪家银行，因为要替客户保密。不过，如果公开报道可以让你相信此事——2011年4月15日《新京报》第A14版刊载过一起案件：某用户在使用了U盾的情况下，被盗转30万元。

　　如需要看更多案例请搜索关键字“U盾+仍被盗”。

　　注1：前些年我们和国内一些银行合作，对网银安全进行过长时间的研究，结论是：至少对当时的网银来说，攻击者入侵用户电脑后，在有U盾的情况下仍然可以实现盗取。银行后来根据我们提交的报告进行了改进，现在好多了。譬如在使用了有显示屏和按键的新型U盾后，类似前面提到的《新京报》所刊载那起案件中的犯罪手法就无效了。

　　注2：“U盾”是用于身份认证的有存储数字证书等安全功能的USB安全设备的俗称之一，本文中泛指所有此类设备。（来源：网络安全知识）