چرا وای‌فای عمومی خطرناک است و VPN دقیقاً چه می‌کند؟

وای‌فای عمومی در کافه، فرودگاه، هتل یا مرکز خرید، سریع و رایگان است؛ اما از نظر امنیتی یکی از پرریسک‌ترین روش‌های اتصال به اینترنت محسوب می‌شود. مشکل اصلی این نیست که «همه وای‌فای‌های عمومی بد هستند»، بلکه این است که شما معمولاً هیچ کنترلی روی تنظیمات شبکه، نحوه مدیریت روتر، یا افرادی که هم‌زمان به همان شبکه وصل‌اند ندارید. نتیجه: یک اتصال راحت می‌تواند به نقطه شروعی برای شنود اطلاعات، ربودن نشست‌های کاربری یا هدایت شما به صفحات جعلی تبدیل شود.

در این مقاله، تهدیدهای رایج در وای‌فای عمومی و نقش واقعی VPN را به زبان ساده اما دقیق توضیح می‌دهیم؛ همچنین می‌گوییم VPN چه چیزهایی را حل نمی‌کند و برای امنیت بهتر چه کارهای مکملی لازم است.

وای‌فای عمومی دقیقاً چه خطرهایی دارد؟

۱) شنود ترافیک (Packet Sniffing)

وقتی به یک شبکه وای‌فای عمومی وصل می‌شوید، ترافیک شما از همان زیرساختی عبور می‌کند که افراد دیگر هم از آن استفاده می‌کنند. اگر وب‌سایت یا اپلیکیشن به‌درستی از HTTPS/TLS استفاده نکند، بخش‌هایی از داده می‌تواند به‌صورت قابل خواندن عبور کند. حتی وقتی HTTPS فعال است، هنوز هم فراداده‌هایی مثل نام دامنه (در برخی شرایط)، زمان‌بندی اتصال و الگوی استفاده می‌تواند قابل مشاهده باشد.

مثال ملموس: اگر یک اپ قدیمی یا یک وب‌سایت ناشناس هنوز HTTP باشد، نام کاربری/رمز عبوری که وارد می‌کنید یا محتوای فرم‌ها ممکن است قابل شنود باشد.

۲) حمله «مرد میانی» (MITM)

در حمله MITM، مهاجم بین شما و اینترنت قرار می‌گیرد و ترافیک را دستکاری یا مشاهده می‌کند. این کار می‌تواند با روش‌هایی مثل جعل ARP، دستکاری DNS یا استفاده از پروکسی‌های مخرب انجام شود. در شبکه‌های عمومی که کنترل و نظارت یکپارچه‌ای ندارند، اجرای این حملات برای مهاجم آسان‌تر می‌شود.

نتیجه MITM همیشه «دزدیدن رمز» نیست؛ گاهی مهاجم صرفاً شما را به نسخه‌ای دستکاری‌شده از یک سایت هدایت می‌کند، یا فایل دانلودی شما را آلوده می‌کند.

۳) هات‌اسپات جعلی (Evil Twin)

یکی از رایج‌ترین ترفندها ساختن یک شبکه با نام مشابه شبکه واقعی است. مثلاً به‌جای "Cafe_Free_WiFi" شبکه‌ای با نام "Cafe_Free_WiFi_5G" ساخته می‌شود. بسیاری از کاربران بدون دقت وصل می‌شوند.

بعد از اتصال، مهاجم می‌تواند صفحه لاگین جعلی (Captive Portal) نشان دهد، از شما ایمیل/رمز بخواهد یا ترافیک را از مسیر خودش عبور دهد.

۴) ربودن نشست (Session Hijacking)

حتی اگر رمز عبور شما لو نرود، ممکن است «کوکی نشست» یا توکن دسترسی در شرایط خاص سرقت شود و مهاجم با همان نشست وارد حساب شما شود. سرویس‌های مدرن با HTTPS و تنظیمات امن کوکی این ریسک را کم کرده‌اند، اما در اپ‌ها/سرویس‌های ضعیف‌تر یا هنگام خطاهای پیکربندی هنوز امکان‌پذیر است.

۵) اشتراک‌گذاری ناخواسته و دسترسی به دستگاه

روی لپ‌تاپ‌ها و گاهی موبایل‌ها، اگر تنظیمات اشتراک فایل/پرینتر یا کشف دستگاه (Discovery) روشن باشد، حضور در یک شبکه عمومی می‌تواند دستگاه را در معرض اسکن و تلاش برای نفوذ قرار دهد. به‌خصوص وقتی فایروال خاموش باشد یا سیستم‌عامل/برنامه‌ها به‌روز نباشند.

۶) شبکه‌های ناامنِ واقعی (نه لزوماً مخرب)

گاهی مهاجم وجود ندارد، اما شبکه توسط مدیر ناآگاه یا تجهیزات قدیمی اداره می‌شود: رمز عبور پیش‌فرض روتر، تنظیمات امنیتی ضعیف، یا استفاده از استانداردهای قدیمی. در این حالت هم ریسک بالا می‌رود، چون یک مهاجم «حاضر در همان فضا» راحت‌تر می‌تواند کنترل بخشی از شبکه را بگیرد.

نقش VPN در وای‌فای عمومی چیست؟

VPN (شبکه خصوصی مجازی) یک تونل رمزنگاری‌شده بین دستگاه شما و سرور VPN ایجاد می‌کند. در عمل، وقتی VPN روشن است:

• داده‌های خروجی شما قبل از ترک دستگاه رمزنگاری می‌شوند.
• در شبکه وای‌فای عمومی، دیگران (یا اپراتور شبکه) محتوای ترافیک شما را به‌صورت قابل فهم نمی‌بینند.
• درخواست‌های شما به‌جای اینکه مستقیم به مقصد بروند، ابتدا به سرور VPN می‌روند و از آنجا به اینترنت خروج می‌کنند.

این یعنی حتی اگر یک نفر در همان وای‌فای مشغول شنود باشد، با داده‌های رمزنگاری‌شده مواجه می‌شود.

VPN چه چیزهایی را «به‌طور قابل اتکا» بهتر می‌کند؟

۱) کاهش ریسک شنود در شبکه محلی

مهم‌ترین مزیت در وای‌فای عمومی همین است: محتوا و داده‌ها در مسیر محلی قابل خواندن نیستند. حتی اگر سایتی اشتباهاً HTTP باشد، VPN هنوز می‌تواند مانع دیدن محتوای آن توسط افراد روی همان وای‌فای شود (هرچند خود مقصد اینترنتی هنوز می‌تواند داده را ببیند).

۲) سخت‌تر شدن MITM در سطح شبکه وای‌فای

VPN تونل رمزنگاری‌شده‌ای ایجاد می‌کند که دستکاری آن برای مهاجم بسیار دشوارتر است. مهاجم شاید بتواند شما را از اینترنت بیندازد یا اختلال ایجاد کند، اما خواندن/تغییر محتوای داخل تونل معمولاً ممکن نیست.

۳) محافظت بهتر هنگام استفاده از DNS (در بسیاری از تنظیمات)

اگر VPN به‌گونه‌ای تنظیم شده باشد که درخواست‌های DNS از داخل تونل عبور کند، احتمال دستکاری DNS توسط شبکه عمومی کاهش پیدا می‌کند. البته این به کیفیت سرویس VPN و تنظیمات دستگاه بستگی دارد.

VPN چه کارهایی را انجام نمی‌دهد؟ (برداشت‌های اشتباه)

۱) VPN شما را «نامرئی» یا «هک‌نشدنی» نمی‌کند

اگر دستگاه شما بدافزار داشته باشد، یا فیشینگ را تشخیص ندهید و رمزتان را در سایت جعلی وارد کنید، VPN مانع آن نمی‌شود. VPN مسیر انتقال را امن‌تر می‌کند، نه تصمیم‌های کاربر یا امنیت داخلی دستگاه را.

۲) VPN جایگزین HTTPS نیست

وب‌سایت‌ها باید از HTTPS استفاده کنند. VPN کمک می‌کند شبکه محلی نتواند ترافیک را بخواند، اما بهتر است همیشه قفل مرورگر (HTTPS) را هم جدی بگیرید. وقتی هر دو وجود داشته باشد، دفاع چندلایه شکل می‌گیرد.

۳) اگر VPN قطع شود، ممکن است ترافیک عادی شود

در بعضی سناریوها اتصال VPN ناپایدار است. اگر برنامه VPN «Kill Switch» (قطع اینترنت هنگام قطع VPN) داشته باشد، ریسک نشت ترافیک کمتر می‌شود. بدون آن، ممکن است دستگاه بی‌خبر به اینترنت معمولی برگردد.

۴) VPN همه ردیابی‌ها را متوقف نمی‌کند

کوکی‌ها، اثرانگشت مرورگر، ورود به حساب‌های شخصی و شناسه‌های تبلیغاتی می‌تواند همچنان باعث ردیابی شود. VPN بیشتر روی مسیر شبکه و آدرس IP اثر دارد، نه روی تمام روش‌های ردیابی در وب.

چک‌لیست امنیت در وای‌فای عمومی (فراتر از VPN)

برای اینکه ریسک واقعاً کم شود، VPN را کنار چند اقدام ساده بگذارید:

1) از شبکه‌هایی با نام مشکوک یا تکراری دوری کنید. اگر امکان دارد نام رسمی را از کارکنان بپرسید. 2) اتصال خودکار (Auto-Join) را خاموش کنید. دستگاه ممکن است بعداً به همان SSID جعلی دوباره وصل شود. 3) درگاه اشتراک فایل/پرینتر را ببندید. در ویندوز شبکه را روی حالت Public بگذارید و اشتراک‌گذاری را خاموش کنید. 4) به‌روزرسانی سیستم‌عامل و مرورگر را عقب نیندازید. بسیاری از حملات با آسیب‌پذیری‌های شناخته‌شده انجام می‌شود. 5) برای حساب‌ها، احراز هویت دو مرحله‌ای (2FA) فعال کنید. حتی اگر رمز لو برود، ورود دشوارتر می‌شود. 6) از ورود به حساب‌های حساس روی وای‌فای عمومی بدون VPN خودداری کنید. مثل بانکداری یا پنل‌های مدیریتی. 7) هشدارهای گواهی (Certificate) را جدی بگیرید. اگر مرورگر درباره امنیت اتصال هشدار می‌دهد، ادامه ندهید. 8) از هات‌اسپات موبایل شخصی در مواقع حساس استفاده کنید. گاهی بهترین راه، دور شدن از وای‌فای عمومی است.

از کجا بفهمیم وای‌فای عمومی «کم‌خطرتر» است؟

هیچ تضمینی وجود ندارد، اما چند نشانه می‌تواند بهتر بودن شرایط را نشان دهد:

• شبکه‌ای که برای هر کاربر رمز جداگانه یا صفحه ورود معتبر دارد (نه الزاماً امن کامل، ولی مدیریت‌پذیرتر است).
• وجود اطلاعیه رسمی و پشتیبانی مشخص (مثلاً هتل معتبر) به جای شبکه‌ای بی‌نام‌ونشان.
• عدم درخواست اطلاعات غیرمنطقی در صفحه ورود (مثل رمز ایمیل یا کد ملی).

در هر حال، فرض منطقی این است: وای‌فای عمومی محیطی است که باید با حداقل اعتماد به آن وصل شد.

VPN مناسب برای وای‌فای عمومی چه ویژگی‌هایی باید داشته باشد؟

اگر هدف اصلی امن‌تر شدن در شبکه‌های عمومی است، به این موارد توجه کنید:

• رمزنگاری استاندارد و پروتکل‌های امن (مثل WireGuard یا OpenVPN).
• Kill Switch برای جلوگیری از نشت ترافیک هنگام قطع اتصال.
• محافظت در برابر نشت DNS و تنظیمات روشن و شفاف در اپ.
• سادگی استفاده: در موقعیت‌های عمومی، کاربر باید بتواند سریع اتصال را برقرار کند.
• شفافیت در سیاست‌های ثبت لاگ: کاربر باید بداند چه داده‌ای ذخیره می‌شود و چه داده‌ای نه.

جمع‌بندی: وای‌فای عمومی را امن‌تر کنید، نه اینکه به آن اعتماد کنید

ریسک اصلی وای‌فای عمومی از «عدم کنترل» می‌آید: شبکه‌ای که صاحبش شما نیستید و افراد ناشناس زیادی هم‌زمان در آن حضور دارند. VPN با ایجاد تونل رمزنگاری‌شده، بخش بزرگی از ریسک شنود و بسیاری از سناریوهای MITM را کم می‌کند؛ اما جایگزین احتیاط کاربر، HTTPS، به‌روزرسانی‌ها و تنظیمات درست دستگاه نیست.

یک راه ساده برای شروع

اگر نیاز دارید در کافه/فرودگاه/هتل کار کنید و می‌خواهید اتصال امن‌تری داشته باشید، استفاده از یک VPN معتبر می‌تواند نقطه شروع خوبی باشد. برای راه‌اندازی سریع، می‌توانید از DuduVPN استفاده کنید؛ فعال‌سازی و دریافت راهنما از طریق ربات تلگرام هم در دسترس است: https://t.me/duduvpnsbot 🙂