答案先抛
大部分情况下普通公共 WiFi 是安全的,因为 HTTPS 已经把流量从底层加密了 —— 哪怕咖啡馆老板抓包,他看到的也是一堆密文。但有一种特殊情况非常危险:攻击者主动架设的"伪 WiFi"(业内叫 Evil Twin),SSID 和正版相同,你的手机分不出真假就自动连上去,然后所有流量都在攻击者的网络里走。
为什么
2015 年之前公共 WiFi 危险,因为大量网站还是 HTTP 明文。那时 Firesheep 这种工具能直接在咖啡馆里读出别人的 Facebook 会话 cookie。2018 年之后 Chrome 强推 HTTPS、所有主流网站和 App 都默认加密,攻击者就算在中间嗅探也只能看到 TLS 流量包,看不到内容。
这是 Evil Twin 攻击诞生的背景。攻击者不再尝试在合法 WiFi 上做中间人,转而在机场、咖啡馆架自己的热点 —— SSID 起名"Starbucks_Free"、"Airport_WiFi_5G",信号强度调高让你的手机优先连上。你连上去之后,攻击者控制 DNS:你输入 binance.com,被解析到他的钓鱼站;他给你的钓鱼站发的是自签名 SSL 证书,浏览器警告"证书不被信任",大部分人会随手点"继续"。这一步过了,密码和 2FA 就被截走。
还有一种更高级的"Captive Portal 劫持"。机场 WiFi 通常要你先在浏览器里点一下"我同意服务条款"才能联网,伪基站会把这个 Portal 页换成"WiFi 登录",要求你输入邮箱密码 —— 拿到密码后做撞库尝试,看你哪些账号复用了密码。
常见误解
"VPN 能完全防住"。一半。VPN 把你的流量从设备到 VPN 服务器加密,伪 WiFi 看不到内容,这部分有效。但 VPN 防不了你"主动登录钓鱼站输密码"这种行为 —— VPN 只是加密了你给钓鱼站送密码这个过程,密码本身依然到了攻击者手里。VPN 是必要不充分。
"手机流量就完全安全"。基本是。手机流量直接走运营商基站,省去了"连 WiFi"这一步。攻击者要在运营商网络里做手脚需要 SS7 协议级的能力(参考短信 2FA 被破解的同类风险),普通玩家做不到。在公共场所做加密资产相关操作,4G/5G 流量比公共 WiFi 安全一档。
"我看到 SSL 锁就是安全的"。错。SSL 锁只证明你和当前网站之间的连接是加密的,不证明当前网站是真的 binance.com。Evil Twin 攻击中钓鱼站的域名是 binance-secure.app 或 binаnce.com(这里的 а 是西里尔字母)一类 —— 它们能合法申请到 SSL 证书,浏览器照样显示锁。真正要看的是域名拼写本身。
延伸阅读
钓鱼诈骗的完整图谱:钓鱼诈骗全图谱 · 2026 版。账户层防护见 2FA 的真相。MetaMask 安全设置实测:MetaMask 安全设置。