Безопасность публичного Wi-Fi: что можно и что нельзя в гостевой сети

Коротко

Большинство задач в публичном Wi-Fi безопасны, если сайт работает по HTTPS (зелёный замок в адресной строке). Критичные операции — банк без двухфакторки, редактирование корпоративных документов, передача паролей — лучше делать через сотовый интернет или VPN. Главная угроза не сам оператор кафе, а Evil Twin — чужая точка доступа с похожим названием.

Три реальных риска

1. MITM (Man-in-the-Middle)

Атакующий садится между вашим устройством и точкой доступа, пропускает трафик через себя, читает его в открытом виде. Раньше это была массовая проблема. Сейчас HTTPS (TLS) защищает трафик почти везде: даже если злоумышленник «видит» пакеты, он видит зашифрованную кашу.

Где HTTPS не спасает:

• старые сайты на HTTP без перехода на HTTPS (их становится всё меньше, браузер помечает их как «Not secure»);
• DNS-запросы без DoH/DoT — видно, какие домены вы открываете (но не содержимое);
• метаданные соединений: IP-адреса серверов, размеры пакетов.

2. Evil Twin

Атакующий поднимает свою точку доступа с названием, похожим на легитимное: «McDonald's Free Wi-Fi 2», «Sheremetyevo_Free». Устройства жертв автоматически подключаются (особенно если раньше уже были в сети с похожим именем). Весь трафик идёт через злоумышленника, и он может:

• перенаправить на фишинговые копии сайтов;
• подменить DNS-ответы;
• собрать открытые данные (например, логин/пароль старого сайта на HTTP).

Как отличить: на captive portal легитимного оператора обычно указано имя заведения и оператор связи. Если captive portal просит ввести данные карты, серию паспорта, пароль от соцсети — это точно не легитимный Wi-Fi.

3. Сам оператор сети

Гипотетически, оператор гостевого Wi-Fi видит IP-адреса сайтов, на которые вы заходите (не содержимое, если HTTPS). В России операторы обязаны хранить MAC-адрес и идентификатор пользователя 6 месяцев (152-ФЗ, подробности в отдельной статье). Трафик по закону хранить не нужно, но технически возможно.

Риск низкий: крупные операторы (Ростелеком, Смарт СПб, региональные ИСП) не заинтересованы в слежке за посетителями кафе. Реальная опасность — это опять же Evil Twin, выдающий себя за оператора.

Что точно безопасно

• Чтение сайтов (новости, справочники, Википедия) через HTTPS — никаких рисков.
• Поиск в Яндексе, Google — трафик шифруется TLS, оператор видит только факт запроса к yandex.ru / google.com.
• Просмотр YouTube, Netflix, мессенджеров — все крупные сервисы работают через TLS. Трафик читать нельзя.
• Публикации в соцсетях — TLS защищает передачу. Единственное, что может пойти не так — если вы уже вошли под чужим устройством через захваченную сессию, но это проблема не сети.
• Любые сайты с замочком в адресной строке — HTTPS покрывает передачу данных.

Что лучше сделать через сотовый интернет или VPN

• Онлайн-банк — хотя Сбер, Тинькофф и другие банки используют HTTPS и дополнительные защиты, в публичной сети лишняя осторожность оправдана. Банк без двухфакторки — точно не отсюда.
• Перевод крупных сумм, инвестиционные операции — минимум отвлекающих факторов.
• Корпоративная почта, редактирование рабочих документов — если у компании есть свой VPN, используйте его. Без VPN — только обязательно HTTPS и заблокированные черновики.
• Ввод паролей на сайтах без двухфакторки — если нужно обязательно, включите VPN.
• Работа через SSH, RDP на серверы без MFA — VPN обязателен.

Практические правила

Перед подключением

1. Проверяйте SSID. Сверяйте название сети с тем, что написано в меню кафе, на стойке ресепшн отеля, на информационном табло. «McDonald's Free Wi-Fi» и «McDonald's_Free_WiFi» — это разные сети. Если сомнения — спрашивайте у персонала.
2. Выключайте автоподключение к открытым сетям в настройках телефона. Иначе устройство само подключится к первому попавшемуся SSID, который совпадает с вашим предыдущим.
3. Обновляйте ОС и браузер. Старые версии могут не поддерживать современный TLS или иметь известные уязвимости.

Во время сессии

1. Смотрите на замочек в адресной строке. Если браузер пишет «Not secure» или «Подключение не защищено» — с этим сайтом не работайте в чужой сети.
2. Не игнорируйте предупреждения о сертификатах. Если браузер говорит «This site's certificate is invalid» — это может быть Evil Twin, пытающийся подсунуть свой сертификат. Уходите.
3. Не скачивайте установочные файлы из публичной сети, если есть альтернатива. MITM может подменить содержимое, если скачивание идёт через HTTP.

После сессии

1. Забудьте сеть в настройках (Wi-Fi → долгое нажатие → «Забыть»), если не планируете возвращаться. Это снимает риск автоподключения к Evil Twin с таким же именем.
2. Выключите Wi-Fi совсем, когда не нужен. Устройство не будет искать знакомые SSID в эфире — и не заорёт пароль от домашней сети наружу.

VPN: когда нужен и какой

VPN шифрует трафик от вашего устройства до VPN-сервера. Оператор Wi-Fi видит только зашифрованный поток на IP-адрес VPN-провайдера, не ваши реальные сайты.

Когда VPN оправдан:

• командировка с критичной работой (банк, корпоративные системы);
• путешествие и использование отельных сетей (чаще всего их админят не специалисты по безопасности);
• частая работа из кафе и коворкингов.

Что выбрать:

• Корпоративный VPN компании — если есть, всегда используйте его для рабочих задач.
• Платный VPN-провайдер — дешевле годовой подписки на плохой фильм, решает большинство проблем.
• Бесплатные VPN — не рекомендуются. Провайдер становится тем самым MITM и может продавать ваш трафик или показывать свою рекламу.

Что НЕ является защитой

• «Инкогнито» в браузере — это только про локальную историю. Трафик идёт тем же путём.
• Антивирус — защищает от вредоносных файлов и сайтов, но не от Evil Twin.
• Только СМС-идентификация в captive portal — никак не влияет на безопасность трафика. Это просто способ оператора выполнить 152-ФЗ.

Резюме одним абзацем

В публичной сети безопасно всё, что идёт по HTTPS, и это почти весь современный веб. Главная угроза — Evil Twin, а не легитимный оператор Wi-Fi. Для критичных операций (банк, корпоративные системы, ввод паролей без 2FA) используйте VPN или сотовый интернет. Выключайте автоподключение и удаляйте ненужные сети из списка сохранённых.

Связанные материалы

• Как подключиться к бесплатному Wi-Fi по закону 152-ФЗ — про идентификацию и captive portal
• Wi-Fi по Госуслугам: как работает авторизация через ЕСИА — альтернатива СМС-коду