Кафе. Чашка кофе. В телефоне — список WiFi-сетей.
«CafeWiFi». Знакомое название. Вы были здесь в прошлый раз, всё работало нормально. Подключаетесь.
За соседним столиком сидит человек с ноутбуком. Он тоже подключён к «CafeWiFi». Только его сеть — не настоящая. Он создал её пятнадцать минут назад с тем же именем и более мощным сигналом.
Теперь весь ваш трафик идёт через его компьютер. Он видит каждый сайт. Каждый логин. Если вы откроете мобильный банк — он увидит и это.
Атака называется Evil Twin — «злой двойник». Одна из самых старых в арсенале мошенников. И одна из самых простых в исполнении.
Почему телефон подключается к чужой сети
Когда телефон ищет WiFi, он ориентируется только на название — SSID. Два лишних символа в конце? Не заметите. Пробел перед словом? Тоже не видно. Одна буква другого регистра? На глаз не различить.
Мошенник запускает точку доступа с тем же именем, что у заведения. Специально делает её сигнал мощнее — чтобы телефон подключился именно к ней, а не к настоящей. Иногда заглушает реальную сеть полностью.
Телефон с включённым автоподключением делает это сам — без вашего участия. Вы даже не заметите момента переключения.
Технический руководитель МТС RED SOC Ильназ Гатауллин объяснял для РИА Новости: злоумышленник создаёт свою точку, называет её так же, как заведение, — и устройства пользователей подключаются к «двойнику», отдавая хакеру доступ ко всему трафику.
Реальный случай. «Сапсан», ноябрь 2019 года
Программист возвращался из Петербурга в Москву на «Сапсане». Мобильный интернет не ловил. Подключился к бесплатному WiFi поезда.
От скуки решил посмотреть, насколько сеть защищена.
Через 20 минут он был внутри. Нашёл открытые порты, использовал публичные программы для поиска уязвимостей. В базе данных обнаружил имена и данные пассажиров текущего и прошлых рейсов.
Главный вывод: все, кто подключён к WiFi «Сапсана», подвержены перехвату трафика. Через их прокси-сервер идут все данные — и HTTP, и при желании HTTPS.
Человек написал об этом пост на «Хабре». РЖД ответили, что персональных данных там нет и провели расследование. Уязвимость никуда не делась — только отчёт закрыли.
Этот случай не исключение. Это правило для большинства публичных сетей.
Что именно видит злоумышленник
Зависит от сайта или приложения.
Если адрес начинается с «https://» и в браузере есть значок замка — данные зашифрованы. Содержимое трафика закрыто. Банковские приложения и крупные сервисы в 2026 году в основном так и работают.
Если сайт без замка, на «http://» — всё, что вы вводите, передаётся открытым текстом. Логин, пароль, личные данные читаются как обычное письмо. Таких сайтов становится меньше, но они ещё есть.
Отдельная угроза — подмена страниц. Мошенник настраивает свою сеть так, что вместо настоящего банка вы попадаете на точную копию. Внешне — не отличить. Вводите данные — они уходят ему.
Ещё один вариант — перехват куки-файлов. Это маленькие данные, которые браузер хранит для автоматического входа в аккаунты. Перехватив их, мошенник входит в ваш аккаунт без пароля — просто подставив куки в свой браузер.
Почему это стало актуальнее
Эксперты Infosecurity фиксируют: на фоне перебоев с мобильным интернетом россияне стали чаще подключаться к публичным WiFi-точкам. В кафе, торговых центрах, аэропортах, поездах.
Вместе с этим активизировались и мошенники. Когда человек не может выйти в сеть привычным способом — он теряет бдительность и подключается к первому доступному варианту.
Именно в такой момент Evil Twin работает лучше всего.
Как распознать поддельную сеть
Несколько признаков, которые должны насторожить.
Сеть не требует никакого пароля или подтверждения — и при этом называется как заведение. Настоящий бесплатный WiFi обычно требует хотя бы принять условия или ввести номер телефона.
Название сети почти совпадает с ожидаемым, но с небольшим отличием — лишний символ, другая буква, цифра в конце.
Телефон подключился автоматически — хотя вы здесь впервые. Значит, имя сети совпадает с той, к которой вы подключались раньше в другом месте.
Часть сайтов не открывается или перекидывает на страницу с формой входа. Это может быть перехват трафика.
Что реально защищает
Самое надёжное — не пользоваться публичным WiFi для чего-то важного. Банк, госуслуги, рабочая почта — только через мобильный интернет оператора. Он шифруется на уровне сети.
Если без публичного WiFi не обойтись — проверяйте адрес в браузере. Замок и «https://» в начале означают шифрование. Без замка — ничего личного не вводите.
Отключите автоподключение к WiFi в настройках телефона. Это главная дыра, через которую работает Evil Twin. Телефон не должен сам подключаться к знакомым по имени сетям.
Перед подключением уточните у персонала точное название сети и наличие пароля. Настоящая сеть заведения почти всегда защищена паролем.
Чеклист: что сделать прямо сейчас
Отключить автоподключение к WiFi — Настройки → WiFi → убрать автоподключение
Не открывать банк и госуслуги через публичный WiFi
Проверять замок в браузере перед вводом любых данных
Уточнять название и пароль сети у персонала заведения
Если подозрительно — выключить WiFi и выйти через мобильный интернет
Пользуетесь публичным WiFi часто — в кафе, поездах, торговых центрах? Или давно перестали доверять чужим сетям? Напишите в комментариях.