Сидите в кафе. Кофе, ноутбук, бесплатный Wi-Fi. Удобно.
В этом же кафе за столиком у окна сидит человек с ноутбуком. Выглядит как обычный посетитель. Работает.
Только он не работает. Он смотрит на ваш трафик.
Видит какие сайты вы открываете. Какие данные вводите. Иногда — что именно.
Это не фантастика и не редкость. Это называется атака на публичную сеть. Инструменты для неё стоят ноль рублей и скачиваются за пять минут. Специальных знаний почти не нужно.
Хорошая новость — современные технологии защищают вас лучше, чем пять лет назад. Плохая — не от всего.
Почему публичный Wi-Fi опасен по своей природе
Домашняя сеть — ваша. Вы знаете кто к ней подключён. Чужих нет.
Публичная сеть в кафе, торговом центре или аэропорту — общая. К ней подключены десятки или сотни людей одновременно. И вы понятия не имеете кто из них и с какими намерениями.
В такой сети данные передаются через один и тот же канал. Если кто-то умеет «слушать» этот канал — он слышит всё что по нему идёт. Включая то, что передаёт ваш телефон.
Самая распространённая атака называется Man-in-the-Middle — «человек посередине». Злоумышленник встаёт между вами и интернетом. Вы думаете что общаетесь с сайтом напрямую. На самом деле всё идёт через него. Он видит запросы. Иногда может их изменять.
Атака полностью невидима. Никаких предупреждений, никаких сбоев в работе. Всё выглядит как обычно.
Что реально могут перехватить
Здесь важно не пугать больше чем нужно. Картина неоднозначная.
Большинство сайтов сейчас работают по протоколу HTTPS — в адресной строке виден замочек. Это шифрование. Данные между вашим телефоном и сайтом зашифрованы. Перехватить и прочитать их сложно — нужны серьёзные ресурсы, которые редко тратят на случайных посетителей кафе.
Но есть нюансы.
Первое — не все сайты используют HTTPS. Особенно старые. Если вы открываете сайт без замочка в адресной строке — всё что вы там делаете видно в открытом виде. Логин, пароль, сообщения.
Второе — сессионные куки. Даже на защищённых сайтах браузер хранит специальные файлы-куки, которые подтверждают что вы уже вошли в аккаунт. Если злоумышленник перехватит эти файлы — он сможет войти в ваш аккаунт без пароля. Это реальная угроза, которая работает даже при HTTPS.
Третье — DNS-запросы. Когда вы вводите адрес сайта, телефон сначала спрашивает специальный сервер: «где находится этот сайт?». Этот запрос часто идёт в незашифрованном виде. Злоумышленник видит какие сайты вы посещаете — даже если не видит что именно вы там делаете.
Атака которую вы точно не заметите
Есть схема хитрее перехвата трафика. Называется Evil Twin — «злой близнец».
Злоумышленник создаёт собственную точку доступа Wi-Fi. Называет её так же как настоящая сеть в этом месте. Или похоже — «CafeWiFi» вместо «Cafe_WiFi». Телефоны автоматически подключаются к более сильному сигналу. Или люди сами выбирают, не замечая разницы в названии.
В этой сети злоумышленник полностью контролирует трафик. Он видит всё что вы делаете. Может подменять страницы — например, показать вам поддельную страницу входа в банк вместо настоящей. Вы вводите логин и пароль — и они уходят прямо к нему.
Никаких предупреждений. Всё выглядит нормально.
Captive-порталы — страницы, где просят ввести номер телефона перед подключением — тоже могут быть использованы для сбора данных. Номер телефона, который вы вводите «для авторизации», оседает в базе.
Что происходит с вашим телефоном пока экран не светится
Вот это мало кто знает.
Когда вы подключились к сети — ваш телефон не просто ждёт. Он активно общается. Приложения в фоне проверяют обновления, синхронизируют данные, отправляют статистику. Мессенджеры получают сообщения. Почта проверяет входящие.
Весь этот трафик идёт через ту же публичную сеть. Вы не делаете ничего — а данные всё равно передаются.
Приложения которые не обновлялись давно могут использовать устаревшие протоколы без нормального шифрования. Это особенно касается старых версий приложений российских банков и госсервисов — некоторые из них имели уязвимости, которые закрыли только после скандалов.
Реальные случаи — не теория
В 2017 году исследователи Бирмингемского университета обнаружили уязвимость перед MITM-атаками сразу в нескольких крупных европейских банковских приложениях. Банки срочно выпустили обновления.
Специалисты по безопасности регулярно демонстрируют атаки на публичных конференциях — в реальных кафе и аэропортах, с реальными посетителями которые ничего не замечают. Это делается чтобы показать проблему, не называя жертв.
В России несколько случаев кражи данных через поддельные точки доступа в аэропортах и торговых центрах задокументированы в отчётах компаний по кибербезопасности. Публично о них говорят редко — репутационные риски.
Что конкретно делать
Не заходить в банковские приложения и не делать переводы через публичный Wi-Fi. Именно там ставки высоки. Подождите до дома или используйте мобильный интернет.
Проверять замочек в адресной строке. Если его нет — не вводить никаких данных. Вообще.
Обновлять приложения. Особенно банковские. Большинство обновлений безопасности выходит именно потому что нашли уязвимость — и молча закрыли её.
Отключать автоподключение к Wi-Fi. Телефон не должен сам цепляться к любой сети с известным именем. Эту настройку можно найти в разделе Wi-Fi на любом телефоне.
Не вводить номер телефона на captive-порталах без необходимости. Особенно в незнакомых местах.
После использования публичного Wi-Fi — выйти из аккаунтов в браузере. Особенно в банковских и почтовых. Это уничтожит сессионные куки которые теоретически могли быть перехвачены.
Главное что нужно понять
Публичный Wi-Fi — не смертельная опасность. Большинство людей пользуются им годами без последствий.
Но это среда где риски выше. Там работают люди с ноутбуками и нехорошими намерениями. Инструменты доступны всем. Жертвы выбираются не лично — просто берут всех подключённых и смотрят что интересного.
Простые правила снижают риск до минимума. Не делать финансовых операций. Проверять замочек. Обновлять приложения. Этого достаточно для большинства ситуаций.
Пользуетесь публичным Wi-Fi регулярно? Знали о таких рисках или впервые? Напишите в комментариях.