Риски публичного Wi-Fi в 2026 году (даже при повсеместном HTTPS)

Несколько лет назад совет по использованию сети в кофейне был прост и мрачен: исходите из того, что кто-то читает ваш трафик. Затем HTTPS стал стандартом почти везде, браузеры начали предупреждать о сайтах без шифрования, и многие незаметно перестали беспокоиться.

Вот в чём проблема. Риски публичного Wi-Fi не исчезли, когда победил HTTPS, — они изменились. Пассивный перехватчик, который раньше вынюхивал ваш пароль от Gmail из эфира, в основном вышел из игры. То, что осталось, более изощрённо, более целенаправленно и труднее заметно, потому что значок замка создаёт видимость безопасности.

В этой статье разберём, что реально исправил HTTPS, что он не охватывает, и несколько привычек, которые существенно снижают вашу уязвимость в чужих сетях.

Что реально решил HTTPS

Отдадим должное. HTTPS — зашифрованная версия веб-протокола — действительно устранил самую грубую разновидность проблемы публичного Wi-Fi.

В 2014 году кто-то в одной аэропортовой сети с вами мог запустить бесплатный инструмент, наблюдать, как ваш браузер загружает Facebook, и уйти с вашей сессионной куки. Этот класс атак в основном мёртв. Сочетание HTTPS по умолчанию, HSTS (флага, который говорит браузерам «никогда не загружай этот сайт по простому HTTP»), и более строгих правил для кук означает, что пассивное прослушивание популярных сайтов даёт мало результатов.

Если ваша модель угроз — «не хочу, чтобы скучающий подросток за соседним столом читал мою почту», — HTTPS вас защитил.

На ступень выше начинается более честный разговор.

Что HTTPS не охватывает

HTTPS шифрует содержимое вашего соединения с конкретным сервером. Он не защищает шаги до установления соединения и не защищает вас от себя самих, когда что-то выглядит немного не так. Вот где по-прежнему живут риски публичного Wi-Fi.

Инъекция через captive portal

Страница «примите наши условия», которая всплывает в сетях отелей и аэропортов, называется captive portal. Чтобы она работала, сеть перехватывает ваш первый веб-запрос и перенаправляет его туда, куда сочтёт нужным. Это атака «человек посередине» по замыслу. Санкционированная, но всё равно — посередине.

Хорошо настроенный captive portal безвреден. Плохо настроенный (или намеренно враждебный) может подсунуть вам JavaScript, пустить фейковые обновления ПО или незаметно профилировать каждое устройство, которое подключается. Ваш телефон часто показывает портал в урезанном браузере без полной адресной строки, что затрудняет понимание того, на что вы вообще смотрите.

DNS-перехват на слабых резолверах

Когда вы вводите bank.com, ваше устройство спрашивает у DNS-резолвера сети «какой IP-адрес у этого домена?». В публичной сети этот резолвер управляется тем, кто владеет точкой доступа.

Неправильно настроенный или вредоносный резолвер может солгать. Он может направить вас на сервер, который не является вашим банком, и предъявить собственный сертификат. Современные браузеры предупредят вас — но только если сертификат неверный, и только если вы читаете предупреждение, а не кликаете сквозь него.

SSL-стриппинг на неправильно настроенных сайтах

SSL-стриппинг — старый трюк, который по-прежнему работает в отдельных случаях. Атакующий находится между вами и сайтом, который вы хотите посетить. Вы вводите example.com (без префикса https://), сеть перехватывает запрос, сама получает настоящую HTTPS-страницу и отдаёт вам копию по обычному HTTP.

Сайты с HSTS-предзагрузкой защищены. Сайты без неё (как правило, небольшие сервисы, внутренние инструменты или всё, к чему вы переходите по старой закладке) — нет. Адресная строка тихо покажет http:// вместо значка замка, и большинство не замечает этого.

Мошеннические точки доступа и «злые двойники»

Это то, что стоит понять как следует, потому что обходит большинство описанных выше защит.

Ваш телефон запоминает сети. Когда он видит маяк (небольшой широковещательный пакет, объявляющий имя Wi-Fi), совпадающий с уже использованной сетью, он может подключиться автоматически. Атакующий с доступным «железом» может транслировать маяк с именем Starbucks WiFi или Hotel Guest, отправить кадр деаутентификации, чтобы выбить ваш телефон из настоящей сети, и наблюдать, как устройство само переходит к ним — без каких-либо ваших действий.

После этого атакующий становится сетью. Они управляют DNS. Они запускают captive portal. Они видят, какие приложения на вашем устройстве пытаются связаться с какими серверами, даже если содержимое зашифровано. Они могут подсунуть собственные страницы captive portal, попробовать SSL-стриппинг на всём, что не использует предзагрузку, и запросить учётные данные в том, что выглядит как обычный вход.

Технически это называется «злой двойник», и тихая часть в том, что ничто вас не предупреждает. Ваш телефон просто показывает привычный значок Wi-Fi.

Привыкание к предупреждениям о сертификатах

Браузеры научились предупреждать. Пользователи научились игнорировать.

Когда вы видите красное полноэкранное предупреждение о сертификате, это почти всегда означает, что с соединением что-то не так. Иногда безобидно (просроченный сертификат), иногда нет (активный «человек посередине»). Решение — не кликать сквозь. На практике же годы плохо настроенных корпоративных сетей приучили людей давить кнопку «всё равно перейти», не читая.

В сети кофейни эта кнопка может быть всей атакой целиком.

Как на самом деле работает атака «злой двойник»

Если хотите одну наглядную картину того, как всё складывается вместе, атака «злой двойник» — самый чистый пример.

Атакующий приносит ноутбук или небольшое портативное устройство в кофейню. Он запускает программу, которая делает три вещи последовательно.

Сначала сканирует эфир в поисках ближайших Wi-Fi-сетей и замечает имя (SSID) легитимной сети. Допустим, это Cafe Guest. Затем начинает транслировать собственные маячные кадры с тем же именем, часто на большей мощности, чтобы устройства предпочли её.

Затем отправляет кадры деаутентификации клиентам, уже подключённым к настоящей сети. Кадры деаутентификации — нормальная часть работы Wi-Fi: они говорят устройству «вы отключены, переподключитесь». В большинстве сетей они не аутентифицированы, а значит, их может отправить кто угодно. Телефоны выбиваются из настоящей сети и ищут, куда переподключиться.

Затем атакующий показывает captive portal. Он может просить электронную почту и пароль «для доступа к бесплатному Wi-Fi». Он может имитировать страницу входа в отель. Он может просто молча пустить вас, направить трафик через своё соединение и всё логировать. С точки зрения вашего телефона — вы в сети. С точки зрения атакующего — они теперь ваш ISP.

Защита — не в чтении заголовков пакетов. Она в том, чтобы сделать атаку неинтересной: не подключаться автоматически к незнакомым сетям, направлять конфиденциальный трафик через то, во что локальная сеть не может заглянуть, и не вводить учётные данные на страницах, к которым вы не переходили намеренно.

Безопасен ли публичный Wi-Fi в 2026 году?

Честный ответ: достаточно безопасен для большинства вещей, недостаточно — для всего.

Читать новости, искать рецепт, листать соцсети — нормально. Цена ошибки низка, а защиты в современных браузерах реальны.

Вход в банк, доступ к рабочей admin-панели, одобрение перевода или вход в новый сервис, который присылает вам код восстановления — это высокоценные моменты, где разрыв между «скорее всего в порядке» и «точно в порядке» имеет значение. Дешёвый способ закрыть этот разрыв — просто не делать это в сетях, которые вы не контролируете.

Пять практических шагов

Ни один из них не требует понимания пакетных кадров. Это привычки.

1. Отключите автоподключение к незнакомым сетям. На iPhone это находится в Настройки → Wi-Fi → Автоподключение к точке доступа, и для каждой сети отдельно: Wi-Fi → (имя сети) → Автоподключение. Смысл в том, чтобы устройство спрашивало вас перед подключением к чему-то со знакомым именем. Смотрите наш пошаговый гайд по настройке VPN на iPhone для связанных шагов.
2. По возможности используйте мобильный интернет или собственную точку доступа. Соединение 5G не является полностью приватным, но у него есть единственный подотчётный оператор, и постороннему человеку не так просто вклиниться в середину. Для всего конфиденциального в поездках точка доступа вашего телефона обычно лучше, чем сеть отеля.
3. Используйте VPN в важные моменты. VPN направляет ваш трафик через зашифрованный туннель к серверу, которому вы доверяете, так что локальная сеть видит только одно соединение и ничего — о том, куда оно ведёт. Это нейтрализует большинство описанных выше угроз: captive portal всё ещё может вас беспокоить, но не сможет увидеть ваши DNS-запросы, стриппинговать SSL на посещаемых сайтах или профилировать, какие приложения вы используете. Если тема для вас новая, наш базовый гайд о том, что такое VPN даст основы, а наш гайд по VPN в поездках разберёт детали. Snap — один из вариантов, созданных именно для такой позиции, но сама привычка важнее бренда.
4. Никогда не кликайте сквозь предупреждения о сертификатах в публичных сетях. Если вы видите полноэкранное предупреждение браузера о сертификате, закройте вкладку. В домашней сети это почти всегда неправильно настроенный сайт; в сети кофейни — возможно, кто-то активно находится посередине. Цена ошибки достаточно высока, чтобы «попробую позже» было правильным ответом по умолчанию.
5. Откладывайте конфиденциальные входы и транзакции для доверенных сетей. Банкинг, сброс паролей, всё, что связано с кодом восстановления или двухфакторной аутентификацией, — стоит потерпеть небольшое неудобство и дождаться, пока вы вернётесь на мобильный интернет или домашний Wi-Fi. Удобство от совершения этих действий в аэропорту не стоит асимметрии того, что может пойти не так.

Что VPN исправляет, а что нет

На этот счёт много шума, поэтому стоит быть конкретными.

VPN исправляет:

• Возможность локальной сети видеть ваши DNS-запросы
• SSL-стриппинг (ваш трафик не проходит через враждебную сеть в открытом виде)
• Профилирование captive portal после его прохождения
• Возможность мошеннической точки доступа узнать что-либо полезное о вашей активности

VPN не исправляет:

• Предупреждение о сертификате, которое вы всё равно проигнорируете
• Фишинговые страницы, на которых вы сами вводите данные
• Вредоносное ПО, уже находящееся на вашем устройстве
• То, что сайты, которые вы посещаете, всё равно могут идентифицировать вас через аккаунты и куки

Это точный инструмент для одного конкретного класса рисков публичного Wi-Fi. Не магический щит, и продукты, которые продают его как таковой, преувеличивают его возможности. Наш обзор распространённых мифов о VPN разбирает больше разрывов между маркетингом и реальностью.

Итог

HTTPS решил простую версию проблемы. Сложная версия — уровень под соединением, где живут DNS, captive portalы и мошеннические точки доступа, — в основном невидима, пока что-то не пойдёт не так.

Не нужно становиться сетевым инженером, чтобы разумно подходить к этому. Отключите автоподключение, скептически относитесь к captive portalам, не кликайте сквозь предупреждения о сертификатах и используйте мобильный интернет или VPN, когда ставки реальны.

Если хотите, чтобы часть с VPN на iOS была решена чисто — без email при регистрации, без логов трафика, с подпиской, тихо оплачиваемой через ваш Apple ID — Snap создан именно с таким подходом. macOS на подходе. В любом случае, самое важное — не то, какое приложение вы устанавливаете; важно перестать относиться к сети в кофейне как к собственной.