Найти в Дзене
Эволюция техники

Подключился к Wi-Fi в поликлинике — через три дня с карты начали пропадать деньги

5 мин
Очередь в поликлинике, два часа ожидания. Телефон ловит знакомое название Wi-Fi-сети — «Поликлиника_Free». Подключение без пароля, интернет работает. За время ожидания — проверка почты, оплата онлайн-заказа, вход в банковское приложение. А через три дня на карте начали появляться чужие списания. Сеть «Поликлиника_Free» не имела отношения к медицинскому учреждению. Это была атака типа Evil Twin — поддельная точка доступа, которая имитирует легитимную сеть. Злоумышленник разворачивает такую точку с помощью обычного ноутбука и программного обеспечения. Название сети выглядит правдоподобно: «Аэропорт_WiFi», «Кафе_Гости», «Поликлиника_Free». Подключаясь к ней, пользователь направляет весь свой трафик через оборудование атакующего. Дальше в дело вступает MITM-атака (Man-in-the-Middle) — перехват данных между устройством и сервером. Атакующий видит, какие сайты открывает жертва, какие данные вводит. При использовании техники SSL stripping HTTPS-соединение может быть понижено до HTTP, и введён
Оглавление

Очередь в поликлинике, два часа ожидания. Телефон ловит знакомое название Wi-Fi-сети — «Поликлиника_Free». Подключение без пароля, интернет работает. За время ожидания — проверка почты, оплата онлайн-заказа, вход в банковское приложение.

А через три дня на карте начали появляться чужие списания.

Что произошло на самом деле

Сеть «Поликлиника_Free» не имела отношения к медицинскому учреждению. Это была атака типа Evil Twin — поддельная точка доступа, которая имитирует легитимную сеть. Злоумышленник разворачивает такую точку с помощью обычного ноутбука и программного обеспечения. Название сети выглядит правдоподобно: «Аэропорт_WiFi», «Кафе_Гости», «Поликлиника_Free». Подключаясь к ней, пользователь направляет весь свой трафик через оборудование атакующего.

Дальше в дело вступает MITM-атака (Man-in-the-Middle) — перехват данных между устройством и сервером. Атакующий видит, какие сайты открывает жертва, какие данные вводит. При использовании техники SSL stripping HTTPS-соединение может быть понижено до HTTP, и введённые логины с паролями передаются в открытом виде.

Именно так банковские реквизиты попали к постороннему.

Почему публичный Wi-Fi опасен

Открытая сеть без пароля не шифрует передаваемые данные на уровне канала. WPA3 — третье поколение стандарта Wi-Fi Protected Access — обеспечивает индивидуальное шифрование для каждого подключённого устройства. Но публичные сети в поликлиниках, аэропортах, торговых центрах редко используют WPA3. Многие работают вообще без пароля.

В такой сети любой, кто находится поблизости с соответствующим программным обеспечением, способен перехватить трафик. Captive portal — страница авторизации, которая появляется при подключении к бесплатному Wi-Fi — создаёт ложное ощущение безопасности. Само по себе окно «Примите условия» ничего не шифрует.

95 процентов сайтов используют HTTPS, и это защищает содержимое страниц от прямого чтения. Но SSL stripping, подмена DNS-записей и фишинговые captive-порталы обходят эту защиту. Злоумышленник перенаправляет пользователя на поддельную страницу банка, визуально неотличимую от настоящей. Жертва вводит данные — и они уходят напрямую атакующему.

Как защититься: 7 конкретных шагов

Шаг 1. Отключить автоподключение к открытым сетям

Большинство атак Evil Twin срабатывают, когда телефон автоматически подключается к знакомому имени сети. На Android это отключается через Настройки → Сеть → Wi-Fi, на iOS — через параметр «Запрос на подключение». После этого устройство не подключится к неизвестной точке доступа без явного подтверждения.

Шаг 2. Включать VPN до начала работы в публичной сети

VPN создаёт зашифрованный туннель между устройством и VPN-сервером. Весь трафик проходит внутри этого туннеля. Даже если атакующий перехватит данные, он увидит только зашифрованный поток.

Запускать VPN нужно до открытия браузера или мобильного приложения. Предпочтительнее платные VPN-сервисы с политикой no-log — они не сохраняют историю подключений.

Шаг 3. Проверять HTTPS и сертификат сайта

Перед вводом любых данных — убедиться, что в адресной строке отображается значок замка и корректный домен. Предупреждения браузера о проблемах с сертификатом — сигнал немедленно закрыть страницу. Такие предупреждения означают, что соединение может быть скомпрометировано.

Шаг 4. Не проводить финансовые операции через публичный Wi-Fi

Оплата покупок, перевод денег, вход в банковское приложение — для всего этого достаточно переключиться на мобильный интернет (4G/5G). Переключение занимает несколько секунд. Мобильная сеть оператора перехватывается значительно сложнее, чем открытый Wi-Fi.

Именно этот шаг предотвратил бы проблему с карточным счётом.

Шаг 5. Включить двухфакторную аутентификацию

2FA (двухфакторная аутентификация) добавляет второй барьер при входе в аккаунт. Даже если пароль перехвачен, злоумышленнику потребуется второй фактор — одноразовый код.

TOTP-приложения (Time-based One-Time Password) безопаснее SMS-кодов. SMS можно перехватить через подмену SIM-карты. TOTP-код генерируется локально на устройстве.

Шаг 6. Включить DNS-over-HTTPS

DNS-запросы — это обращения к «телефонной книге» интернета, которые преобразуют имена сайтов в IP-адреса. В открытой сети эти запросы передаются в незашифрованном виде. Атакующий может подменить ответ и перенаправить на поддельный сайт.

DNS-over-HTTPS (DoH) шифрует эти запросы. На Android настройка выполняется через Настройки → Сеть → Частный DNS с указанием адреса dns.google. В iOS Safari использует зашифрованный DNS автоматически.

Шаг 7. Удалить публичную сеть после использования

После завершения сеанса — зайти в настройки Wi-Fi и выбрать «Забыть эту сеть». Иначе устройство может автоматически подключиться к этой сети (или к поддельной с таким же именем) при следующем визите.

Что делать, если данные уже скомпрометированы

Три действия, которые нужно выполнить немедленно:

  1. Заблокировать карту через мобильное приложение банка или по телефону горячей линии.
  2. Сменить пароли ко всем сервисам, в которые выполнялся вход через скомпрометированную сеть. Менять пароли через безопасное соединение — домашний Wi-Fi или мобильный интернет.
  3. Проверить список авторизованных устройств в банковском приложении и почтовых сервисах. Незнакомые сессии — завершить.

Заявление в банк о несанкционированных операциях по закону подаётся в течение суток с момента уведомления о списании. Чем раньше подано заявление, тем выше вероятность возврата средств.

Альтернативный подход: мобильный интернет как основной

Тарифы мобильных операторов с большим объёмом трафика делают публичный Wi-Fi необязательным. 20–30 ГБ мобильного интернета в месяц покрывают потребности большинства пользователей. Функция «Точка доступа» позволяет раздать мобильный интернет на ноутбук.

Такой подход устраняет проблему полностью: нет подключения к чужой сети — нет вектора атаки.

Итого

Бесплатный Wi-Fi — не подарок, а компромисс между удобством и безопасностью. Поддельные точки доступа не требуют от злоумышленника ни физического контакта с жертвой, ни дорогого оборудования. Ноутбук и бесплатное ПО — достаточно.

Семь описанных шагов занимают суммарно 10–15 минут на настройку. После этого публичные сети перестают быть угрозой. А для финансовых операций в очереди к врачу всегда есть мобильный интернет.