无线钓鱼是一个广受关注但难以根治的热点安全话题。本文中，我将以攻击者视角揭露无线钓鱼攻击的技术原理，包括DNS劫持、Captive Portal、JS缓存投毒等有趣的攻击利用。随后将探讨企业该如何帮助员工应对无线钓鱼攻击。企业内做钓鱼热点防护就够了吗?如何进行有效的无线安全意识培训?使用VPN就能抗住所有攻击?员工在非信任无线网络中进行远程办公是不可避免的安全挑战，零信任产品带来了更多的解决思路。

　　1. 无线钓鱼的背景

　　2019年，我在前公司时配合湖南卫视《新闻大求真》栏目组共同制作了一期关于公共无线热点安全性的节目，曾直观地呈现了公共无线热点的危险性。

　　从无线网络接入者的角度来看，其安全性完全取决于无线网络搭建者的身份。受到各种客观因素的限制，很多数据在无线网络上传输时都是明文的，如一般的网页、图片等;还有很多网站或邮件系统甚至在手机用户进行登录时，将账号和密码也进行了明文传输或只是简单加密传输。

　　因此，一旦有手机接入攻击者架设的钓鱼热点，通过该网络传输的各种信息(包括账号和密码等)就有可能被攻击者所截获。

　　1.1 Wi-Fi绵羊墙

　　很长时间中，无线网络的安全风险一直未被公众所熟知。2015年的央视3·15晚会“钓鱼热点”环节的演示，才 一次让国内较为广大的群体对此有了直观认识。

　　在晚会现场，观众加入主办方指定的一个 Wi-Fi 网络后，用户手机上正在使用哪些软件、用户通过微信朋友圈浏览的照片等信息就都被显示在了大屏幕上。不仅如此，现场大屏幕上还展示了很多用户的电子邮箱信息。

　　特别值得一提的是，主持人在采访一位邮箱密码被展示出来的现场观众时，这位观众明确表示，到现场以后并没有登录电子邮箱。造成这种情况的原因是该用户所使用的电子邮箱软件在手机接入无线网络后，自动联网进行了数据更新，而在更新过程中，邮箱的账号和密码都被进行了明文传输。这个现场实验告诉我们：攻击者通过钓鱼热点盗取用户个人信息，用户往往是完全感觉不到的。

　　这个演示环节的灵感其实是来源于 DEFCON 黑客大会 Wireless Village 上有名的绵羊墙(The Wall of Sheep)。绵羊墙将收集的账号和隐匿的密码投影在影幕上，告诉人们:“你很可能随时都被监视。”同时也是为了让那些参会者难堪——来参加黑客大会的人，自身也不注意安全。

　　1.2 真实案例

用户在钓鱼热点中进行网购导致密码泄漏，被盗刷2000元。

咖啡店无线网络被植入恶意代码，利用用户设备挖掘门罗币。

腾讯内网有员工反馈在地铁站中自动连上伪造的公司热点“XXXXWiFi”，被迫浏览“反宣文案”。2. 无线钓鱼底层原理探析

　　本节将通过搭建一个无线钓鱼热点，展示该攻击方式的危害性、隐蔽性和低成本性。读者将学习到构造一个精密的无线钓鱼网络所涉及的所有实现原理，包括如何使用无线网卡创建热点、如何吸引更多用户连接热点、如何嗅探网络中的敏感信息、如何利用钓鱼网页获取用户敏感信息以及如何配置 Captive Portal 强制用户访问钓鱼界面。

　　需要注意的是，本节的实验需要无线网卡支持 AP 模式才能建立热点，如Atheros AR9271、Atheros RTL8812等。

　　2.1创建无线热点

　　hostapd是用于AP和认证服务器的守护进程，它实现了与IEEE 802.11相关的接入管理，支持IEEE 802.1X、WPA、WPA2、EAP、OPEN等认证方式。首先，创建配置文件open.conf：

　　#open.conf

　　interface=wlan0

　　ssid=FreeWiFi

　　driver=nl80211

　　channel=1

　　hw_mode=g

　　其中 interface 表示无线网卡接口名称，ssid 表示热点名称，channel 表示信道，hw_mode 用于指定无线模式，g代表 IEEE 802.11g。读者可根据实际情况做相应修改。

　　除了创建接入点本身外，还需要配置 DHCP 和 DNS 等基础服务。 dnsmasq 是一款可同时提供 DNS 和 DHCP 服务功能、较易配置的轻量工具。其默认配置文件为/etc/dnsmasq.conf，其中包含大量的注释，用以说明各项功能及配置方法。在默认情况下，它会开启 DNS 功能，同时加载系统/etc/resolv.conf 文件中的内容作为上游 DNS 信息。只需要在配置文件中设置特定的 DHCP 地址池范围和所服务的网络接口即可。代码如下：

　　#/etc/dnsmasq.conf

　　dhcp-range=172.5.5.100, 172.5.5.250, 12h

　　interface=wlan0