場景:你在上海浦東機場候機,航班延誤兩小時。你掏出手機,連上「Shanghai-Airport-Free-WiFi」,打開 VPN,刷了一下 Instagram,回了幾封 Gmail,順便登入網銀看一下餘額。
一切看起來很正常。但你可能不知道——你剛才連的那個 WiFi,根本不是機場官方的。
我是小鹿,資安碩士,前 KPMG 資安顧問,現在是全職隱私偏執狂。今天我要認真跟你聊一件事:在公共 WiFi 上翻牆,你以為開了 VPN 就安全,但真相是坑比你想的多太多了。
這不是在嚇你。看完這篇,你會知道那些坑在哪,以及怎麼避開。
公共 WiFi 的 5 大安全風險
先搞清楚一件事:公共 WiFi 本身就是高風險環境,不管你有沒有在翻牆。
1. 中間人攻擊(MITM):假 WiFi,真竊聽
這是最經典的手法。攻擊者在星巴克架一個名叫「Starbucks-Free-WiFi」的熱點,名稱跟真的一模一樣。你的手機看到訊號比較強,就自動連上了——恭喜,你所有的網路流量現在都經過攻擊者的設備。
這不是什麼高難度駭客技術。一台筆電 + 一個 20 美元的 WiFi adapter + 免費的開源工具,任何資安系大二學生都做得到。在機場、飯店、咖啡廳這種人流密集的地方,你根本分不清哪個是真的、哪個是假的。
2. DNS 劫持:連上真 WiFi,照樣被騙
好,你確認連的是官方 WiFi,放心了?別太早。
DNS 就像網路的電話簿,你輸入「google.com」,DNS 伺服器告訴你的手機要連到哪個 IP。但如果公共 WiFi 的 DNS 被篡改,你輸入「google.com」,被導向的可能是一個長得一模一樣的釣魚網站。你輸入帳號密碼——恭喜,又被偷了。
更陰險的是,DNS 劫持幾乎沒有任何明顯跡象。網址列看起來正常、頁面看起來正常,你完全不會察覺。
3. Session Hijacking:偷你的 Cookie
你登入了 Facebook,瀏覽器會存一個 Session Cookie,之後就不用重新登入。但在未加密的公共 WiFi 上,攻擊者可以攔截這個 Cookie,直接冒充你的身份登入你的帳號——完全不需要你的密碼。
雖然現在大多數主流網站都使用 HTTPS 加密,但並不是所有網站都做得到位。而且某些舊版瀏覽器或 App 可能在背景傳輸未加密的資料,你根本不會知道。
4. 強制門戶頁面(Captive Portal)的資訊收集
你一定遇過:連上 WiFi 後跳出一個頁面,要你輸入手機號、Email,或者用微信掃碼才能上網。
真相是,這些資訊全部會被記錄。在中國大陸,公共 WiFi 的強制門戶通常要求手機號碼驗證,這代表你的上網行為可以跟你的真實身份綁定。你接下來做了什麼、連了多久、訪問了哪些網站,全部有跡可查。
5. WiFi 嗅探:被動竊聽,你完全不會發現
就算攻擊者什麼都不做,只是「聽」,也夠危險了。WiFi 嗅探工具可以被動擷取同一個網路上所有未加密的流量——瀏覽的網頁、傳輸的檔案、甚至某些 App 的聊天內容。
最可怕的是,這種攻擊完全是被動的,不會產生任何異常流量,你的手機不會跳出任何警告。你可能在飯店大廳舒舒服服地滑手機,旁邊桌的人正在用筆電看你的一切。
VPN 能保護你多少?真相是沒你想的那麼多
很多人的安全策略是:連上公共 WiFi → 打開 VPN → 安心上網。
這個邏輯大方向沒錯,但有 4 個致命的死角你必須知道。
VPN 能做到的 ✅
VPN 會在你的裝置和 VPN 伺服器之間建立一條加密通道。一旦連線建立,你的網路流量會被加密,中間人看到的只是一堆亂碼。這確實能有效防止大部分的竊聽和攻擊。
死角 1:VPN 連線前的那幾秒是裸奔的 ❌
你連上公共 WiFi,然後打開 VPN App,按下連線。在 VPN 真正建立之前——通常需要 2-10 秒——你的裝置已經在背景發送了一堆請求:DNS 查詢、App 推播、郵件同步、系統更新檢查……
這幾秒鐘的「空窗期」,你的真實 IP、DNS 請求、甚至部分 App 資料都是暴露的。如果有人在監聽,這幾秒就夠了。
死角 2:DNS Leak——加密了但 DNS 查詢沒加密 ❌
有些 VPN 設定不當,會導致 DNS 查詢仍然走本地網路而非 VPN 通道。結果就是:你的網路流量雖然加密了,但你「查了什麼網站」這件事情是公開的。
這就像你寄了一封密封的信,但信封上寫的收件地址所有人都看得到。攻擊者不知道你跟那個網站說了什麼,但知道你去了哪些網站——有時候這就夠了。
死角 3:已經洩漏的 Cookie 救不回來 ❌
如果你在 VPN 連線之前就已經登入了某個網站,那個 Session Cookie 已經在未加密的狀態下傳輸過了。之後再開 VPN 也沒用,Cookie 已經被偷了。
死角 4:VPN 斷線你不一定知道 ❌
公共 WiFi 訊號不穩,VPN 連線很容易斷掉。如果你的 VPN 沒有 Kill Switch(斷線自動切斷網路)功能,斷線的那段時間你的流量又會回到未加密狀態——而你可能完全沒注意到,還在繼續刷 Instagram。
想了解更多 VPN 基礎知識,可以看 VPN 是什麼?新手懶人包。
在中國用公共 WiFi 翻牆:還有這些特殊風險
如果你是在中國大陸的公共 WiFi 環境翻牆,風險還要再加幾層。
WiFi 實名制
2024 年起,中國大陸絕大多數公共 WiFi 都需要手機號碼驗證,部分場所甚至要求身分證號或人臉識別。這代表你的翻牆行為可以直接追溯到你的真實身份。
在機場、高鐵站、飯店這些地方,你掃碼連 WiFi 的那一刻,你是誰、你什麼時候上網、你連了多久,全部被記錄在案。
反詐 App 可能偵測 VPN 連線
近年來中國大陸推動的「國家反詐中心」App,部分地區要求安裝。這類 App 具備網路監控能力,可能偵測到 VPN 連線行為並上報。雖然目前還沒有大規模因此被處罰的案例,但風險存在。
想了解在中國使用 VPN 的法律風險,可以參考 VPN 在中國違法嗎?。
某些 WiFi 主動封鎖 VPN
部分公共 WiFi(特別是政府機關、國企、某些連鎖飯店)會主動偵測並封鎖常見的 VPN 協議。你可能會發現,在某些地方連上 WiFi 後,VPN 怎麼都連不上——不是你的 VPN 壞了,是被擋了。
如果你有這種困擾,可以看看 VPN 連不上怎麼辦?。
深度封包檢測(DPI)
中國大陸的網路環境部署了深度封包檢測技術。在某些公共 WiFi 上,DPI 不只封鎖 VPN,還會記錄你「嘗試翻牆」這個行為本身。就算你最終沒有翻牆成功,嘗試的紀錄也可能被保留。
最新的封鎖動態可以參考 2026 Q2 中國防火牆更新。
在公共 WiFi 環境自保 Checklist(10 項)
好,風險講完了,來點實際的。以下是我個人在使用公共 WiFi 時的標準操作流程:
連線前
- ✅ 1. 先開 VPN,再連 WiFi:順序很重要。先啟動 VPN(讓它進入等待連線狀態),再連 WiFi,這樣可以最大程度縮短空窗期。
- ✅ 2. 確認 WiFi 名稱:跟店員或工作人員確認官方 WiFi 名稱,不要看到名字像就連。特別注意:攻擊者常用的手法是在正確名稱後面加一個空格或底線。
- ✅ 3. 關閉自動連線:在手機設定裡關掉「自動連線已知網路」,防止手機在你不知情的情況下連上惡意熱點。
連線中
- ✅ 4. 確認 VPN 確實在運作:連上 WiFi 後,確認 VPN 狀態是「已連線」,手機頂部應該有 VPN 圖示。
- ✅ 5. 不要登入敏感帳號:在公共 WiFi 上,就算開了 VPN,也盡量避免登入網路銀行、重要 Email、或任何涉及金錢的帳號。能等到回家用自己的網路,就等一下。
- ✅ 6. 只用 HTTPS 網站:注意瀏覽器網址列有沒有那把鎖的圖示。沒有的話,關掉,別用。
- ✅ 7. 關閉不必要的 App:那些你沒在用但在背景偷偷同步的 App(社群、郵件、雲端同步),在公共 WiFi 環境下都是潛在的洩漏點。
連線後
- ✅ 8. 忘記這個 WiFi:用完之後,到 WiFi 設定裡選「忘記此網路」,防止下次自動連上。
- ✅ 9. 清除瀏覽器 Cookie:特別是如果你在 VPN 連線前就開始瀏覽的話。
- ✅ 10. 留意異常通知:接下來幾天注意有沒有收到「異常登入」的通知信。如果有,立刻改密碼並開啟兩步驟驗證。
不同場景的風險等級
不是所有公共 WiFi 都一樣危險。以下是我個人的風險分級:
| 場景 |
風險等級 |
主要風險 |
建議 |
| 機場(國際) |
⚠️ 中 |
中間人攻擊、嗅探 |
開 VPN 再連,避免敏感操作 |
| 機場(中國大陸) |
🔴 高 |
實名制 + DPI + 中間人 |
能用行動數據就別用 WiFi |
| 連鎖咖啡廳 |
⚠️ 中 |
假熱點、嗅探 |
跟店員確認 WiFi 名稱 |
| 飯店 |
⚠️ 中高 |
DNS 劫持、門戶頁面收集 |
確認 VPN 運作正常 |
| 高鐵站(中國大陸) |
🔴 高 |
實名制 + 封鎖 VPN |
用手機行動數據翻牆 |
| 共享辦公空間 |
⚠️ 中 |
嗅探、Session 劫持 |
開 VPN + 避免敏感操作 |
如果你要去大陸出差,強烈建議提前準備好翻牆工具。可以看看我們的台灣人到大陸出差翻牆攻略。
(工商時間)
好啦,講了這麼多風險,是時候私心推一下了。
Sunset Browser 針對公共 WiFi 環境做了不少優化——自研的加密隧道技術、多重加密加流量偽裝,連線建立速度也夠快,盡量壓縮那個危險的「空窗期」。最重要的是,它不記錄你的瀏覽紀錄,這點你可以放心。
免費用戶看段廣告就能用 30 分鐘,在機場候機室刷個社群綽綽有餘。
好,工商結束,我們講最後一段正事。
常見問題 FAQ
開了 VPN 連公共 WiFi 就安全了嗎?
不完全是。VPN 能加密你的網路流量,大幅提升安全性,但有幾個死角:VPN 連線前的空窗期、DNS Leak、VPN 斷線時的裸奔。VPN 是最重要的一層保護,但不是唯一的一層。
公共 WiFi 上翻牆會被發現嗎?
在中國大陸的公共 WiFi 上翻牆,風險確實比較高。WiFi 實名制意味著你的行為可以追溯到真實身份,加上深度封包檢測技術,翻牆行為有被偵測的可能。建議在大陸翻牆時優先使用行動數據而非公共 WiFi。
怎麼判斷連上的 WiFi 是不是假的?
很難。假的 WiFi 熱點可以完美模仿真的,包括名稱、登入頁面。最保險的做法是:向現場工作人員確認官方 WiFi 名稱、注意有沒有重複的同名熱點、連線後立刻開 VPN。如果同一個名稱出現兩次,選訊號較弱的那個反而可能是真的(因為假的通常會刻意調高功率)。
用行動數據比公共 WiFi 安全嗎?
一般來說是的。行動數據經過電信商的加密,中間人攻擊的難度遠高於公共 WiFi。在中國大陸翻牆的話,用行動數據至少少了「公共 WiFi 實名制 + 假熱點」這兩層風險。當然,行動數據也不是完全安全的,該開的 VPN 還是要開。
飯店 WiFi 比咖啡廳 WiFi 安全嗎?
不一定。飯店 WiFi 通常有密碼保護,感覺比開放式的咖啡廳 WiFi 安全,但實際上住客共享同一個網路,嗅探風險依然存在。而且飯店的 Captive Portal 通常會要求更多個人資訊(姓名、房號、護照號),這些資訊洩漏的風險不比咖啡廳低。
結語:公共 WiFi 不是不能用,是要帶腦子用
我不是要你從此不連公共 WiFi——那不現實。但我希望你每次連上免費 WiFi 的時候,腦子裡有一個清單在跑:WiFi 名稱確認了嗎?VPN 開了嗎?有沒有在做敏感操作?
真相是,公共 WiFi + VPN 確實是目前最實際的組合,但 VPN 不是魔法結界,它有它的極限。知道極限在哪,才能真正保護自己。
下次在機場候機的時候,記得:先開 VPN,再連 WiFi。這個順序,可能比你想像的重要得多。