Представьте: вы в аэропорту Шанхай Пудун, ждёте задержанный рейс. Достаёте телефон, подключаетесь к «Shanghai-Airport-Free-WiFi», запускаете VPN, листаете Instagram, отвечаете на пару писем в Gmail, проверяете баланс в банковском приложении.
Всё выглядит совершенно нормально. Но вот что вы можете не знать — тот Wi-Fi, к которому вы подключились, вообще не является официальной сетью аэропорта.
Меня зовут Сяолу, у меня магистерская степень по кибербезопасности, я бывший консультант KPMG и в данный момент — профессиональный энтузиаст конфиденциальности. Сегодня я хочу серьёзно поговорить вот о чём: когда вы используете VPN в публичном Wi-Fi, вам кажется, что включённый VPN — это гарантия безопасности, но на самом деле подводных камней гораздо больше, чем вы предполагаете.
Это не запугивание. К концу статьи вы будете точно знать, где эти подводные камни и как их обойти.
5 главных угроз безопасности публичного Wi-Fi
Давайте сразу проясним: публичный Wi-Fi — это среда повышенного риска сам по себе, вне зависимости от того, обходите вы цензуру или нет.
1. Атака посредника (MITM): поддельный Wi-Fi, реальная прослушка
Классическая техника. Злоумышленник создаёт точку доступа «Starbucks-Free-WiFi» в Starbucks — идентичную настоящей. Ваш телефон видит более сильный сигнал и автоматически подключается. Поздравляем — весь ваш сетевой трафик теперь проходит через устройство атакующего.
Это не какой-то элитный хакерский навык. Ноутбук, Wi-Fi-адаптер за 20 долларов и бесплатные инструменты с открытым кодом — любой студент второго курса кибербезопасности справится. В людных местах — аэропортах, отелях, кафе — вы просто не в состоянии отличить настоящую сеть от поддельной.
2. Перехват DNS: подключились к настоящему Wi-Fi — всё равно обмануты
Допустим, вы убедились, что это официальный Wi-Fi. Теперь безопасно? Не спешите.
DNS — это телефонная книга интернета: вы вводите «google.com», а DNS-сервер сообщает телефону, к какому IP подключаться. Но если DNS публичного Wi-Fi подменён, при вводе «google.com» вас могут перенаправить на идеально скопированный фишинговый сайт. Вы вводите логин и пароль — и они украдены.
Коварство в том, что при перехвате DNS визуально ничего не меняется. Адресная строка выглядит нормально, страница — тоже. Вы ничего не заподозрите.
3. Перехват сессии: кража ваших Cookie
Вы авторизуетесь в Facebook, и браузер сохраняет Session Cookie, чтобы не логиниться заново. Но в незашифрованном публичном Wi-Fi злоумышленник может перехватить этот cookie и выдать себя за вас — войти в ваш аккаунт без единого пароля.
Хотя большинство крупных сайтов сейчас используют HTTPS, не все реализуют его правильно. А некоторые старые браузеры или приложения могут передавать незашифрованные данные в фоне без вашего ведома.
4. Captive Portal: сбор ваших данных
Вы точно это видели: подключаетесь к Wi-Fi — и появляется страница с просьбой указать номер телефона, email или отсканировать QR-код WeChat, прежде чем получить доступ к интернету.
Правда в том, что вся эта информация записывается. В материковом Китае captive portal публичного Wi-Fi обычно требует верификацию по номеру телефона, а значит ваша онлайн-активность может быть привязана к вашей реальной личности. Всё, что вы делаете после этого — сколько времени подключены, какие сайты посещаете — всё фиксируется.
5. Wi-Fi-сниффинг: пассивная прослушка, которую вы никогда не обнаружите
Даже если злоумышленник не делает ничего, кроме «прослушивания», это достаточно опасно. Инструменты Wi-Fi-сниффинга могут пассивно перехватывать весь незашифрованный трафик в той же сети — просматриваемые страницы, передаваемые файлы, даже содержимое чатов в некоторых приложениях.
Самое пугающее в этой атаке — она полностью пассивна. Она не генерирует аномального трафика, и телефон не покажет никаких предупреждений. Вы спокойно листаете телефон в лобби отеля, а человек за соседним столиком наблюдает за всем на своём ноутбуке.
Насколько VPN реально вас защищает? Меньше, чем вы думаете
Стратегия безопасности многих людей: подключиться к публичному Wi-Fi → включить VPN → безопасно сёрфить.
Общая логика не ошибочна, но есть 4 критических слепых зоны, о которых нужно знать.
Что VPN МОЖЕТ сделать
VPN создаёт зашифрованный туннель между вашим устройством и VPN-сервером. После установления соединения ваш трафик зашифрован, и перехватчик посередине видит лишь бессмыслицу. Это эффективно предотвращает большинство атак прослушивания.
Слепая зона 1: несколько секунд до подключения VPN — без защиты
Вы подключаетесь к публичному Wi-Fi, затем открываете VPN-приложение и нажимаете «Подключиться». До того, как VPN реально установит соединение — обычно 2-10 секунд — ваше устройство уже отправило массу фоновых запросов: DNS-запросы, push-уведомления, синхронизация почты, проверка обновлений...
За эти несколько секунд «зазора» ваш реальный IP, DNS-запросы и даже некоторые данные приложений полностью раскрыты. Если кто-то мониторит сеть, этих секунд достаточно.
Слепая зона 2: утечка DNS — трафик зашифрован, но DNS-запросы — нет
Некоторые неправильно настроенные VPN позволяют DNS-запросам идти через локальную сеть, а не через VPN-туннель. Результат: ваш сетевой трафик зашифрован, но информация о том, «какие сайты вы искали», доступна всем.
Это как отправить запечатанное письмо, но с адресом получателя на виду. Злоумышленник не знает, что вы написали сайту, но знает, какие сайты вы посещали — и иногда этого достаточно.
Слепая зона 3: уже утёкшие Cookie не спасти
Если вы авторизовались на сайте до установления VPN-соединения, тот Session Cookie уже был передан в незашифрованном виде. Включение VPN после этого не поможет — cookie уже украден.
Слепая зона 4: вы можете не заметить отключение VPN
Сигнал публичного Wi-Fi нестабилен, и VPN-соединения часто обрываются. Если у вашего VPN нет Kill Switch (автоматическое отключение интернета при разрыве VPN), ваш трафик в период отключения возвращается в незашифрованное состояние — а вы можете этого не заметить и продолжать листать Instagram.
О базовых принципах VPN читайте в статье Что такое VPN? Руководство для начинающих.
Обход цензуры через публичный Wi-Fi в Китае: дополнительные риски
Если вы используете публичный Wi-Fi в материковом Китае для обхода Великого файрвола, риски накапливаются ещё сильнее.
Обязательная регистрация Wi-Fi по реальному имени
С 2024 года подавляющее большинство публичных Wi-Fi в материковом Китае требует верификацию по номеру телефона, а в некоторых местах — номер удостоверения личности или распознавание лица. Это означает, что ваша деятельность по обходу цензуры может быть напрямую привязана к вашей реальной личности.
В аэропортах, на вокзалах скоростных поездов и в отелях — в момент сканирования для подключения к Wi-Fi фиксируется, кто вы, когда вышли в сеть и как долго были подключены.
Антифрод-приложения могут обнаружить VPN-соединение
В последние годы в Китае активно продвигается приложение «Национальный антимошеннический центр», установку которого в некоторых регионах требуют в обязательном порядке. Эти приложения обладают возможностями мониторинга сети и могут обнаруживать VPN-соединения и сообщать о них. Хотя массовых случаев наказания через этот канал пока не было, риск существует.
О правовых рисках использования VPN в Китае читайте в статье Законно ли использование VPN в Китае?.
Некоторые Wi-Fi-сети активно блокируют VPN
Определённые публичные Wi-Fi-сети (особенно в государственных учреждениях, госпредприятиях и некоторых гостиничных сетях) активно обнаруживают и блокируют распространённые VPN-протоколы. Вы можете обнаружить, что после подключения к Wi-Fi в определённых местах VPN просто не подключается — он не сломан, его блокируют.
Если столкнулись с этим, читайте VPN не подключается? Инструкция по устранению проблем.
Глубокая инспекция пакетов (DPI)
Сетевая инфраструктура материкового Китая использует технологию глубокой инспекции пакетов. В некоторых публичных Wi-Fi-сетях DPI не только блокирует VPN, но и фиксирует сам факт «попытки обхода цензуры». Даже если вам не удалось подключиться, запись о вашей попытке может быть сохранена.
О последних обновлениях блокировок читайте в статье Обновление Великого файрвола Китая Q2 2026.
Чек-лист самозащиты в публичном Wi-Fi (10 пунктов)
Итак, риски разобраны. Переходим к практике. Вот мой личный стандартный алгоритм действий при использовании публичного Wi-Fi:
Перед подключением
- 1. Включите VPN до подключения к Wi-Fi: Порядок важен. Сначала запустите VPN (переведите в состояние готовности к подключению), затем подключайтесь к Wi-Fi. Это минимизирует незащищённый промежуток.
- 2. Проверьте название Wi-Fi: Уточните у персонала официальное название сети. Не подключайтесь ко всему, что выглядит похоже. Внимание: злоумышленники часто добавляют пробел или подчёркивание в конце настоящего названия.
- 3. Отключите автоподключение: Выключите «автоматическое подключение к известным сетям» в настройках телефона, чтобы избежать незаметного подключения к вредоносным точкам доступа.
Во время подключения
- 4. Убедитесь, что VPN действительно работает: После подключения к Wi-Fi проверьте, что статус VPN показывает «Подключено» и значок VPN отображается вверху экрана.
- 5. Не входите в чувствительные аккаунты: Даже с включённым VPN старайтесь не входить в интернет-банк, важную почту или финансовые аккаунты через публичный Wi-Fi. Если можно подождать до дома — подождите.
- 6. Используйте только HTTPS-сайты: Проверяйте наличие значка замка в адресной строке браузера. Если его нет — закройте сайт.
- 7. Закройте ненужные приложения: Приложения, которые вы не используете активно, но которые синхронизируются в фоне (соцсети, почта, облачное хранилище), — все они потенциальные точки утечки в публичном Wi-Fi.
После отключения
- 8. Забудьте сеть: По завершении зайдите в настройки Wi-Fi и выберите «Забыть эту сеть», чтобы предотвратить автоматическое подключение в будущем.
- 9. Очистите cookie браузера: Особенно если вы начали просмотр до подключения VPN.
- 10. Следите за необычными уведомлениями: В ближайшие дни обращайте внимание на письма о «необычном входе». Если получите такое — немедленно смените пароль и включите двухфакторную аутентификацию.
Уровни риска по местоположению
Не все публичные Wi-Fi-сети одинаково опасны. Вот моя личная классификация рисков:
| Место |
Уровень риска |
Основные угрозы |
Рекомендация |
| Аэропорт (международный) |
Средний |
MITM, сниффинг |
Включите VPN до подключения; избегайте чувствительных операций |
| Аэропорт (материковый Китай) |
Высокий |
Регистрация по имени + DPI + MITM |
По возможности используйте мобильные данные |
| Сетевые кофейни |
Средний |
Поддельные точки доступа, сниффинг |
Уточните название Wi-Fi у персонала |
| Отели |
Средне-высокий |
Перехват DNS, сбор данных через captive portal |
Проверьте работоспособность VPN |
| Вокзалы (материковый Китай) |
Высокий |
Регистрация по имени + блокировка VPN |
Для обхода цензуры используйте мобильные данные |
| Коворкинги |
Средний |
Сниффинг, перехват сессии |
Используйте VPN + избегайте чувствительных операций |
Если вы собираетесь в командировку в материковый Китай, настоятельно рекомендуется подготовить инструменты для обхода цензуры заранее. Ознакомьтесь с нашим руководством по VPN для деловых поездок в Китай.
(Минутка рекламы)
Итак, после всех этих рисков — время для краткой рекомендации.
Sunset Browser неплохо оптимизирован для работы в публичных Wi-Fi-сетях — собственная технология зашифрованного туннеля, многоуровневое шифрование плюс обфускация трафика, а скорость установления соединения достаточно высока, чтобы минимизировать опасный незащищённый промежуток. Главное — он не записывает историю просмотров, так что на этот счёт можно не беспокоиться.
Бесплатные пользователи могут посмотреть короткую рекламу и получить 30 минут доступа — вполне достаточно, чтобы полистать соцсети в зале ожидания аэропорта.
Реклама окончена. Подведём итоги.
Часто задаваемые вопросы
Я в безопасности в публичном Wi-Fi, если включу VPN?
Не полностью. VPN шифрует ваш сетевой трафик и значительно повышает безопасность, но есть слепые зоны: промежуток до подключения VPN, утечки DNS, незащищённые периоды при разрыве VPN-соединения. VPN — самый важный уровень защиты, но не единственный.
Может ли моя деятельность по обходу цензуры быть обнаружена в публичном Wi-Fi?
В публичном Wi-Fi материкового Китая риск действительно выше. Регистрация по реальному имени означает, что активность можно привязать к вашей личности, а технология глубокой инспекции пакетов позволяет обнаруживать VPN. При обходе цензуры в Китае отдавайте предпочтение мобильным данным, а не публичному Wi-Fi.
Как понять, что Wi-Fi-сеть поддельная?
Это очень сложно. Поддельные точки доступа могут идеально имитировать настоящие, включая название и страницу входа. Самый надёжный подход: уточните официальное название Wi-Fi у персонала, следите за дублирующимися сетями, включайте VPN сразу после подключения. Если одно и то же название появляется дважды, более слабый сигнал может быть настоящей сетью (поддельные обычно усиливают мощность, чтобы привлечь подключения).
Мобильные данные безопаснее публичного Wi-Fi?
Как правило, да. Мобильные данные шифруются через оператора связи, что делает атаку посредника значительно сложнее. При обходе цензуры в Китае мобильные данные как минимум устраняют риски «регистрации по реальному имени + поддельных точек доступа» публичного Wi-Fi. Разумеется, мобильные данные тоже не полностью безопасны — VPN использовать всё равно стоит.
Wi-Fi в отеле безопаснее, чем в кафе?
Не обязательно. Wi-Fi в отеле обычно защищён паролем, что создаёт ощущение большей безопасности по сравнению с открытым Wi-Fi кафе, но гости делят одну сеть, так что риски сниффинга сохраняются. К тому же captive portal отелей обычно запрашивает больше личной информации (имя, номер комнаты, номер паспорта), создавая риски утечки не ниже, чем в кафе.
Заключение: публичный Wi-Fi — не запретная зона, но используйте голову
Я не говорю, что нужно никогда не подключаться к публичному Wi-Fi — это нереально. Но я надеюсь, что каждый раз при подключении к бесплатному Wi-Fi в вашей голове будет работать чек-лист: название Wi-Fi проверено? VPN включён? Делаю ли я что-то чувствительное?
Правда в том, что публичный Wi-Fi плюс VPN — сейчас самая практичная комбинация, но VPN — не волшебный щит, у него есть свои пределы. Знание этих пределов — вот что по-настоящему вас защищает.
В следующий раз в аэропорту помните: сначала включите VPN, потом подключайтесь к Wi-Fi. Этот порядок действий может оказаться важнее, чем вы думаете.