ดาวน์โหลด
กลับไปยัง Blog
ความเป็นส่วนตัว··10 นาที

อันตรายของ Wi-Fi สาธารณะ (แม้จะมี HTTPS ทุกที่)

ภาษา: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийTürkçeУкраїнськаTiếng Việt简体中文繁體中文

ไม่กี่ปีก่อน คำแนะนำสำหรับการใช้เครือข่ายในร้านกาแฟนั้นเรียบง่ายและน่าหดหู่ ให้สมมติว่ามีคนกำลังอ่านทราฟฟิกของคุณอยู่ จากนั้น HTTPS ก็กลายเป็นค่าเริ่มต้น แทบทุกที่ เบราว์เซอร์เริ่มร้องเตือนเรื่องเว็บไซต์ที่เป็นข้อความธรรมดา และผู้คนจำนวนมากก็เลิกกังวลไปอย่างเงียบ ๆ

ส่วนหลังนี่แหละคือปัญหา อันตรายของ Wi-Fi สาธารณะไม่ได้หายไปตอนที่ HTTPS ชนะ — มันแค่เปลี่ยนรูปแบบ คนดักฟังเชิงรับที่เคยดักรหัสผ่าน Gmail ของคุณ จากอากาศนั้นส่วนใหญ่ถูกทำให้ไม่คุ้มค่าไปแล้ว สิ่งที่เหลืออยู่นั้นน่าสนใจกว่า เจาะจงเป้าหมายมากกว่า และสังเกตได้ยากกว่า เพราะไอคอนแม่กุญแจทำให้ทุกอย่าง ดูเหมือนเรียบร้อยดี

บทความนี้จะพาดูว่า HTTPS แก้อะไรได้จริง อะไรที่มันแก้ไม่ได้ และนิสัยไม่กี่อย่างที่เปลี่ยนระดับความเสี่ยงของคุณได้อย่างมีนัยสำคัญ บนเครือข่ายที่คุณไม่ได้เป็นเจ้าของ

HTTPS แก้อะไรได้จริง

ต้องให้เครดิตตามจริง HTTPS — เวอร์ชันเข้ารหัสของโปรโตคอลเว็บ — แก้ปัญหา Wi-Fi สาธารณะเวอร์ชันที่ใหญ่และโง่ที่สุดได้จริง

ในปี 2014 คนที่อยู่บนเครือข่ายสนามบินเดียวกับคุณสามารถรันเครื่องมือฟรีตัวหนึ่ง ดูเบราว์เซอร์ของคุณโหลด Facebook แล้วเดินจากไปพร้อมคุกกี้เซสชันของคุณ การโจมตีประเภทนั้นแทบจะตายไปแล้ว การผสมกันของ HTTPS-เป็นค่าเริ่มต้น, HSTS (แฟล็กที่บอกเบราว์เซอร์ว่า “ห้ามโหลดเว็บนี้ผ่าน HTTP ธรรมดาอีก”), และกฎคุกกี้ที่เข้มงวดขึ้น ทำให้การดักฟังเชิงรับแบบทั่วไปของเว็บไซต์หลัก ๆ แทบไม่ได้อะไรกลับมา

หากโมเดลภัยคุกคามของคุณคือ “ฉันไม่อยากให้เด็กวัยรุ่นเบื่อ ๆ ที่นั่งห่างไป สามโต๊ะอ่านอีเมลของฉัน” HTTPS ก็พาคุณไปถึงจุดนั้นได้

โมเดลภัยคุกคามที่สูงขึ้นไปอีกขั้นคือจุดที่ต้องพูดกันตามตรงมากขึ้น

HTTPS ไม่ครอบคลุมอะไรบ้าง

HTTPS เข้ารหัสเนื้อหาของการเชื่อมต่อของคุณไปยังเซิร์ฟเวอร์ตัวหนึ่งโดยเฉพาะ มันไม่ปกป้องขั้นตอนก่อนที่การเชื่อมต่อนั้นจะถูกสร้างขึ้น และมันไม่ปกป้องคุณจากตัวคุณเองเมื่อมีบางอย่างดูผิดปกติไปนิดหน่อย นี่คือจุดที่อันตรายของ Wi-Fi สาธารณะยังคงอยู่

การฉีดโค้ดผ่าน Captive Portal

หน้า “ยอมรับเงื่อนไขของเรา” ที่เด้งขึ้นมาบน Wi-Fi โรงแรมและ สนามบินเรียกว่า captive portal เพื่อให้มันทำงานได้ เครือข่ายต้องดักคำขอเว็บ แรกของคุณและเปลี่ยนเส้นทางไปยังที่ที่มันเลือกเอง นั่นคือคนกลาง (man-in-the-middle) โดยการออกแบบ ได้รับอนุญาต แต่ก็ยังเป็นคนกลางอยู่ดี

captive portal ที่บริหารจัดการดีนั้นไม่มีอันตราย แต่ตัวที่บริหารแย่ (หรือตัวที่ จงใจมุ่งร้าย) อาจส่ง JavaScript มาให้คุณ ผลักการอัปเดตซอฟต์แวร์ปลอม หรือเก็บ โปรไฟล์ทุกอุปกรณ์ที่เข้ามาเชื่อมต่ออย่างเงียบ ๆ โทรศัพท์ของคุณมักแสดง portal ในเบราว์เซอร์แบบย่อที่ไม่มีแถบที่อยู่เต็ม ซึ่งทำให้บอกได้ยากขึ้นว่าจริง ๆ แล้ว คุณกำลังดูอะไรอยู่

การจี้ DNS บน Resolver ที่อ่อนแอ

เมื่อคุณพิมพ์ bank.comเครื่องของคุณจะถาม DNS resolver ของเครือข่าย ว่า “ที่อยู่ IP ของมันคืออะไร?” บนเครือข่ายสาธารณะ resolver ตัวนั้น ถูกดำเนินการโดยใครก็ตามที่เป็นเจ้าของจุดเข้าถึง (access point)

resolver ที่ตั้งค่าผิดหรือมุ่งร้ายสามารถโกหกได้ มันสามารถส่งคุณไปยังเซิร์ฟเวอร์ ที่ไม่ใช่ธนาคารของคุณ แล้วแสดงใบรับรองของตัวมันเอง เบราว์เซอร์สมัยใหม่จะเตือนคุณ — แต่ก็ต่อเมื่อใบรับรองนั้นผิด และก็ต่อเมื่อคุณอ่านคำเตือนแทนที่จะคลิกผ่านไป

SSL Stripping บนเว็บไซต์ที่ตั้งค่าผิด

SSL stripping เป็นเล่ห์เก่าที่ยังใช้ได้ในกรณีจำกัด ผู้โจมตีแทรกตัวอยู่ระหว่างคุณ กับเว็บไซต์ที่คุณพยายามจะเข้าถึง คุณพิมพ์ example.com (ไม่มีคำนำหน้าhttps://) เครือข่ายดักมันไว้ ไปดึงหน้า HTTPS จริงมาเอง แล้วส่งสำเนา HTTP ธรรมดาให้คุณ

เว็บไซต์ที่ใช้ HSTS preloading จะปลอดภัย ส่วนเว็บไซต์ที่ไม่ใช้ (มักเป็นบริการเล็ก ๆ เครื่องมือภายใน หรืออะไรก็ตามที่คุณเข้าผ่านบุ๊กมาร์กเก่า) จะไม่ปลอดภัย แถบที่อยู่จะแสดง http:// แทนไอคอนแม่กุญแจอย่างเงียบ ๆ และคนส่วนใหญ่ ก็ไม่ได้ดู

จุดเข้าถึงปลอมและ Evil Twin

ตัวนี้คือตัวที่ควรทำความเข้าใจให้ดี เพราะมันเลี่ยงการป้องกันส่วนใหญ่ข้างต้นไปได้

โทรศัพท์ของคุณจดจำเครือข่าย เมื่อมันเห็น beacon (แพ็กเก็ตกระจายสัญญาณเล็ก ๆ ที่ประกาศชื่อ Wi-Fi) ที่ตรงกับเครือข่ายที่มันเคยเชื่อมต่อมาก่อน มันก็เชื่อมต่อ อัตโนมัติได้ ผู้โจมตีที่มีฮาร์ดแวร์หาซื้อได้ทั่วไปสามารถกระจาย beacon ที่อ้างว่าเป็น Starbucks WiFi หรือ Hotel Guest ส่งเฟรม deauthentication เพื่อเตะโทรศัพท์ของคุณออกจากเครือข่ายจริง แล้วเฝ้าดูเครื่องของคุณกระโดดข้ามไปยังเครือข่ายของพวกเขาโดยที่คุณไม่ได้แตะอะไรเลย

จากตรงนั้น ผู้โจมตีก็คือเครือข่าย พวกเขาควบคุม DNS พวกเขาดำเนินการ captive portal พวกเขาเห็นว่าแอปไหนบนเครื่องของคุณกำลังพยายามติดต่อเซิร์ฟเวอร์ไหน แม้ว่าเนื้อหา จะถูกเข้ารหัสก็ตาม พวกเขาสามารถส่งหน้า captive portal ของตัวเอง ลองทำ SSL stripping กับอะไรก็ตามที่ไม่ได้ preload ไว้ และขอข้อมูลรับรองภายในสิ่งที่ดู เหมือนขั้นตอนการเข้าสู่ระบบปกติ

ชื่อทางเทคนิคคือ “evil twin” และส่วนที่น่ากลัวเงียบ ๆ คือ ไม่มีอะไรเตือนคุณว่ามันกำลังเกิดขึ้น โทรศัพท์ของคุณก็แค่แสดงไอคอน Wi-Fi ที่คุ้นเคย

การถูกฝึกให้เคยชินกับคำเตือนใบรับรอง

เบราว์เซอร์เก่งขึ้นเรื่องคำเตือน ผู้ใช้ก็เก่งขึ้นเรื่องการเพิกเฉยต่อมัน

เมื่อคุณเห็นคำเตือนใบรับรองสีแดงเต็มหน้าจอ มันแทบจะหมายความเสมอว่ามีบางอย่างผิดปกติ กับการเชื่อมต่อ บางครั้งก็ไม่มีพิษภัย (ใบรับรองหมดอายุ) บางครั้งก็ไม่ใช่ (คนกลาง ที่กำลังทำงานอยู่) ทางแก้คืออย่าคลิกผ่านไป ในทางปฏิบัติ ผู้คนถูกฝึกมาตลอดหลายปี จากเครือข่ายองค์กรที่ตั้งค่าผิดให้กดปุ่ม “ดำเนินการต่ออยู่ดี” โดยไม่อ่าน

บนเครือข่ายร้านกาแฟ ปุ่มนั้นอาจเป็นทั้งหมดของการโจมตีก็ได้

การโจมตีแบบ Evil-Twin ทำงานอย่างไรจริง ๆ

หากคุณอยากได้ภาพที่เป็นรูปธรรมสักภาพว่าทั้งหมดนี้ประกอบกันอย่างไร การโจมตีแบบ evil-twin คือตัวอย่างที่ชัดเจนที่สุด

ผู้โจมตีนำแล็ปท็อปหรืออุปกรณ์พกพาเล็ก ๆ เข้าไปในร้านกาแฟ พวกเขารันซอฟต์แวร์ ชิ้นหนึ่งที่ทำสามอย่างตามลำดับ

อย่างแรก มันสแกนอากาศหาเครือข่าย Wi-Fi ที่อยู่ใกล้เคียงและจดชื่อ (SSID) ของเครือข่ายจริง สมมติว่าเป็น Cafe Guest จากนั้นมันก็เริ่มกระจาย beacon frame ของตัวเองด้วยชื่อเดียวกัน มักจะใช้กำลังส่งที่แรงกว่าเพื่อให้ เครื่องต่าง ๆ เลือกมัน

อย่างที่สอง มันส่งเฟรม deauthentication ไปยังไคลเอนต์ที่เชื่อมต่อกับเครือข่ายจริง อยู่แล้ว เฟรม deauth เป็นส่วนหนึ่งของการทำงานปกติของ Wi-Fi — มันบอกเครื่อง ว่า “คุณถูกตัดการเชื่อมต่อแล้ว โปรดเชื่อมต่อใหม่” บนเครือข่ายส่วนใหญ่ เฟรมเหล่านี้ไม่มีการยืนยันตัวตน ซึ่งหมายความว่าใครก็ส่งได้ โทรศัพท์บนเครือข่ายจริง จึงถูกเตะออกและมองหาที่ที่จะเชื่อมต่อใหม่

อย่างที่สาม ผู้โจมตีนำเสนอ captive portal มันอาจขออีเมลและรหัสผ่าน “เพื่อ เข้าถึง Wi-Fi ฟรี” มันอาจเลียนแบบหน้าเข้าสู่ระบบของโรงแรม มันอาจปล่อยให้ คุณผ่านไปอย่างเงียบ ๆ กำหนดเส้นทางทราฟฟิกของคุณออกผ่านการเชื่อมต่อของพวกเขาเอง และบันทึกทุกอย่าง ในมุมมองของโทรศัพท์คุณ คุณกำลังออนไลน์อยู่ ในมุมมองของผู้โจมตี ตอนนี้พวกเขาคือ ISP ของคุณ

การป้องกันไม่ใช่การไปอ่านส่วนหัวของแพ็กเก็ต แต่คือการทำให้การโจมตีนั้นไม่น่าสนใจ — ด้วยการไม่เชื่อมต่อเครือข่ายที่ไม่รู้จักโดยอัตโนมัติ ด้วยการกำหนดเส้นทาง ทราฟฟิกที่อ่อนไหวของคุณผ่านสิ่งที่เครือข่ายในพื้นที่มองเข้าไปไม่ได้ และด้วยการไม่กรอกข้อมูลรับรองลงในหน้าที่คุณไม่ได้ตั้งใจเข้าไปเอง

Wi-Fi สาธารณะปลอดภัยไหมในปี 2026?

คำตอบตามตรง: ปลอดภัยพอสำหรับเรื่องส่วนใหญ่ แต่ไม่ปลอดภัยพอสำหรับทุกเรื่อง

อ่านข่าว ค้นสูตรอาหาร เลื่อนดูโซเชียล — ไม่เป็นไร ต้นทุนของการทำทราฟฟิก เหล่านั้นพลาดนั้นต่ำ และการป้องกันในเบราว์เซอร์สมัยใหม่ก็มีอยู่จริง

เข้าสู่ระบบธนาคาร เข้าถึงแผงผู้ดูแลของงาน อนุมัติการโอนเงิน หรือลงชื่อเข้าใช้ บริการใหม่ที่ส่งรหัสกู้คืนให้คุณทางข้อความ — เหล่านี้คือช่วงเวลาที่มีมูลค่า สูงกว่า ที่ช่องว่างระหว่าง “น่าจะโอเค” กับ “โอเคแน่นอน” นั้นมีความสำคัญ คำตอบราคาถูกในการปิดช่องว่างนั้นคือการไม่ทำมันบนเครือข่ายที่คุณ ควบคุมไม่ได้

ห้าขั้นตอนที่นำไปใช้ได้จริง

ไม่มีข้อไหนต้องคิดเรื่องเฟรมแพ็กเก็ตเลย พวกมันเป็นแค่นิสัย

  1. ปิดการเชื่อมต่ออัตโนมัติสำหรับเครือข่ายที่ไม่รู้จักบน iPhone อยู่ใต้ Settings → Wi-Fi → Auto-Join Hotspot และแบบรายเครือข่าย อยู่ใต้ Wi-Fi → (ชื่อเครือข่าย) → Auto-Join จุดประสงค์คือทำให้ เครื่องของคุณถามคุณก่อนที่มันจะเข้าร่วมอะไรบางอย่างที่มีชื่อคุ้นเคย ดู คู่มือการตั้งค่า VPN บน iPhone ของเราสำหรับขั้นตอนที่เกี่ยวข้อง
  2. เลือกใช้เครือข่ายมือถือหรือฮอตสปอตของคุณเองเมื่อทำได้ การ เชื่อมต่อ 5G ไม่ได้เป็นส่วนตัวอย่างสมบูรณ์แบบ แต่มันมีผู้ให้บริการเพียงรายเดียว ที่รับผิดชอบ และไม่มีวิธีง่าย ๆ ที่คนแปลกหน้าจะแทรกตัวเข้าไปอยู่ตรงกลางของมันได้ สำหรับอะไรก็ตามที่อ่อนไหวขณะเดินทาง ฮอตสปอตของโทรศัพท์คุณมักเป็นคำตอบที่ดีกว่า เครือข่ายของโรงแรม
  3. ใช้ VPN สำหรับช่วงเวลาที่สำคัญ VPN ซึ่งย่อมาจาก virtual private network กำหนดเส้นทางทราฟฟิกของคุณผ่านอุโมงค์ที่เข้ารหัสไปยังเซิร์ฟเวอร์ ที่คุณเชื่อใจ ดังนั้นเครือข่ายในพื้นที่จึงเห็นเพียงการเชื่อมต่อหนึ่งเส้นนั้น และไม่เห็นอะไรเลยว่ามันกำลังจะไปที่ไหน สิ่งนี้ทำให้หมวดหมู่ส่วนใหญ่ข้างต้นหมดฤทธิ์ captive portal ยังกวนคุณได้อยู่ แต่มันมองไม่เห็นการค้นหา DNS ของคุณ ทำ SSL stripping กับเว็บไซต์ที่คุณเข้าไม่ได้ และทำโปรไฟล์ว่าคุณใช้แอปไหนอยู่ไม่ได้ หากคุณเพิ่งเริ่มรู้จักแนวคิดนี้ บทความเบื้องต้นของเราว่า VPN คืออะไรจริง ๆ ครอบคลุมพื้นฐาน และ คู่มือของเราเรื่อง VPN ระหว่างเดินทาง ลงรายละเอียด Snap เป็นทางเลือกหนึ่งที่สร้างขึ้นรอบแนวทางนั้น แต่นิสัยในภาพรวมสำคัญกว่าแบรนด์
  4. อย่าคลิกผ่านคำเตือนใบรับรองบนเครือข่ายสาธารณะเป็นอันขาด หากคุณเห็นคำเตือนของเบราว์เซอร์เต็มหน้าจอเกี่ยวกับใบรับรอง ให้ปิดแท็บนั้น บนเครือข่ายที่บ้านของคุณ มันแทบจะเป็นเว็บไซต์ที่ตั้งค่าผิดเสมอ บน Wi-Fi ร้านกาแฟ มันอาจเป็นใครบางคนที่กำลังแทรกตัวอยู่ตรงกลาง ต้นทุนของการตัดสินใจผิด นั้นสูงพอที่ “ลองใหม่ภายหลัง” จะเป็นค่าเริ่มต้นที่ถูกต้อง
  5. เก็บการเข้าสู่ระบบและธุรกรรมที่อ่อนไหวไว้ทำบนเครือข่ายที่เชื่อใจได้ ธุรกรรมธนาคาร การรีเซ็ตรหัสผ่าน อะไรก็ตามที่เกี่ยวข้องกับรหัสกู้คืนหรือ ขั้นตอนสองชั้น — เหล่านี้คุ้มค่ากับความยุ่งยากเล็กน้อยในการรอจนกว่าคุณ จะกลับมาอยู่บนเครือข่ายมือถือหรือ Wi-Fi ที่บ้าน ความสะดวกที่ได้จากการทำมัน ที่สนามบินไม่คุ้มกับความไม่สมดุลของสิ่งที่อาจผิดพลาดได้

VPN แก้อะไรได้และแก้อะไรไม่ได้

เรื่องนี้มีเสียงรบกวนเยอะ จึงคุ้มที่จะพูดให้เจาะจง

VPN แก้สิ่งเหล่านี้ได้:

  • ความสามารถของเครือข่ายในพื้นที่ในการเห็นการค้นหา DNS ของคุณ
  • SSL stripping (ทราฟฟิกของคุณไม่ผ่านเครือข่ายที่มุ่งร้ายในรูปข้อความธรรมดา)
  • การทำโปรไฟล์ของ captive portal หลังจากที่คุณผ่าน captive portal ไปแล้ว
  • ความสามารถของจุดเข้าถึงปลอมในการเรียนรู้สิ่งที่เป็นประโยชน์ใด ๆ เกี่ยวกับกิจกรรมของคุณ

VPN แก้สิ่งเหล่านี้ไม่ได้:

  • คำเตือนใบรับรองที่คุณคลิกผ่านไปอยู่ดี
  • หน้าฟิชชิงที่คุณเข้าสู่ระบบเข้าไปเอง
  • มัลแวร์ที่อยู่บนเครื่องของคุณอยู่แล้ว
  • ความจริงที่ว่าเว็บไซต์ที่คุณเข้ายังคงระบุตัวตนของคุณได้ผ่านบัญชีและคุกกี้

มันเป็นเครื่องมือที่คมสำหรับอันตรายของ Wi-Fi สาธารณะประเภทหนึ่งโดยเฉพาะ มันไม่ใช่โล่วิเศษ และผลิตภัณฑ์ที่ขายมันแบบนั้นก็กำลังโม้เกินกว่าที่มันทำได้ บทสรุปของเราเรื่อง ความเชื่อผิด ๆ เกี่ยวกับ VPN ที่พบบ่อย ลงลึก เรื่องช่องว่างระหว่างการตลาดกับความเป็นจริงมากขึ้น

สรุป

HTTPS แก้ปัญหาเวอร์ชันที่ง่ายไปแล้ว ส่วนเวอร์ชันที่ยากกว่า ชั้นที่อยู่ใต้การเชื่อมต่อ ซึ่งเป็นที่อยู่ของ DNS, captive portal และจุดเข้าถึงปลอมนั้น ส่วนใหญ่มองไม่เห็น จนกว่าจะมีบางอย่างผิดพลาด

คุณไม่จำเป็นต้องกลายเป็นวิศวกรเครือข่ายเพื่อจะดูแลเรื่องนี้อย่างมีเหตุผล ปิดการเชื่อมต่ออัตโนมัติ ระแวง captive portal อย่าคลิกผ่านคำเตือนใบรับรอง และใช้เครือข่ายมือถือหรือ VPN เมื่อเดิมพันมันมีจริง

หากคุณอยากให้ส่วน VPN ถูกจัดการอย่างหมดจดบน iOS — ไม่ต้องใช้อีเมลตอนสมัครไม่มี บันทึกทราฟฟิก การสมัครสมาชิกเรียกเก็บเงินอย่างเงียบ ๆ ผ่าน Apple ID ของคุณ — Snap สร้างขึ้นรอบแนวทางนั้นพอดี macOS กำลังจะตามมา ไม่ว่าทางไหน สิ่งสำคัญที่สุดไม่ใช่ว่าคุณติดตั้งแอปไหน แต่คือการที่คุณเลิกปฏิบัติต่อเครือข่ายร้านกาแฟราวกับว่ามันเป็นของคุณเอง

The Snap VPN Team
Editorial