Что видит злоумышленник в открытом Wi-Fi кафе

Десять лет назад открытый Wi-Fi в кафе считался однозначно опасным. Любой человек рядом мог подсмотреть, какие сайты ты открываешь, и при удаче — украсть пароль. Сегодня большая часть этих атак не работает: HTTPS стал стандартом, браузеры по умолчанию ругаются на любую попытку downgrade. Это сместило угрозу, но не убрало.

В этой статье разберём, что реально видит человек за соседним столиком, что видит сам провайдер кафе и как закрыть оставшиеся дыры — без покупки чего-либо, просто настройками устройства.

Что вообще считается «открытым Wi-Fi»

Открытая сеть — это та, при подключении к которой устройство не запрашивает пароль или просит его на отдельной веб-странице (так называемая captive portal, типичная для аэропортов и отелей). Технически такая сеть либо не шифруется вообще, либо использует общий ключ, известный всем посетителям.

Это означает: радиоэфир между твоим телефоном и точкой доступа доступен любому, кто настроит свой Wi-Fi-адаптер в режим прослушивания. Доступен — но в каком виде? Тут и начинается интересное.

Что было опасно раньше

До массового перехода на HTTPS (примерно до 2018 года) браузер открывал многие сайты по http:// без шифрования. В этом режиме передавались логины, пароли, содержимое страниц, токены сессий — всё прямым текстом. Атакующий с Wireshark и ноутбуком за соседним столиком видел почти всё, что ты делаешь.

Сегодня >95% трафика в кафе идёт по HTTPS. Браузеры (Chrome, Safari, Firefox, Edge) перестали показывать «сайт безопасен» — теперь они ругаются на тех, кто до сих пор работает по HTTP. Это значит, что простой пассивный сниффинг даёт атакующему мало.

Что мало значит — расскажу прямо.

Что атакующий всё ещё видит

Даже если сайт открывается по HTTPS, атакующий, сидящий в той же сети, видит:

• DNS-запросы — по умолчанию они уходят на DNS-сервер провайдера в открытом виде. Каждый раз, когда браузер открывает example.com, он сначала спрашивает «какой у этого домена IP» — и этот вопрос без шифрования.
• SNI (Server Name Indication) — даже внутри HTTPS-handshake браузер передаёт имя домена в открытом виде, чтобы сервер выбрал правильный сертификат. Это «общий приёмник» в шифрованном протоколе.
• IP-адрес назначения — куда едет трафик, видно в любом случае.
• Размер и тайминг пакетов — по этим следам можно догадаться, что именно ты делаешь: смотришь видео (большой постоянный поток), переписываешься в мессенджере (короткие двусторонние пачки), скроллишь ленту (всплески по таймеру).

Это метаданные. Содержимое сообщений атакующий не прочитает, но картину твоей активности — видит.

Активные атаки: что делает злоумышленник, не пассивно слушающий

Пассивный сниффинг сегодня даёт мало. Поэтому опасные атаки в 2026-м — все активные: атакующий вмешивается в сеть, а не просто сидит и смотрит.

ARP-spoofing

Самая старая и до сих пор работающая. Когда твой телефон спрашивает у сети «где роутер», атакующий отвечает первым: «я роутер». С этого момента весь твой трафик идёт через его ноутбук. Он становится посредником.

Что это даёт: возможность модифицировать незашифрованные части трафика (см. ниже captive portal и DNS), наблюдать метаданные ещё детальнее, и инжектировать пакеты — например, перенаправить тебя на свою копию страницы.

Защита со стороны браузера: HTTPS не даст ему расшифровать содержимое. Но он видит, куда ты ходишь, и может вмешаться там, где шифрования нет.

Подмена DNS

Через ту же позицию посредника атакующий перехватывает DNS-запросы и отвечает своими IP. Скажем, ты открываешь bank.ru — а попадаешь на копию, поднятую атакующим. Браузер сразу скажет «сертификат не от того домена» (благодаря HTTPS), но пользователи жмут «продолжить» в 30% случаев, особенно если страница похожа на оригинал.

Сильная защита здесь — DNS-over-HTTPS / DNS-over-TLS (DoH/DoT). Если DNS шифруется, атакующий не видит запросов и не может их подменить.

SSL stripping

Старая атака с новым контекстом. Если ты вводишь в адресной строке bank.ru без https:// — твой первый запрос уходит как HTTP. Сервер обычно отвечает редиректом на HTTPS, и дальше всё хорошо. Но между этими двумя шагами атакующий вмешивается и подменяет редирект на «оставайся на HTTP». Браузер открывает страницу по http, и форма с паролем уходит в открытом виде.

Защита: HSTS-preload — браузер хранит список доменов, которые обязаны работать только по HTTPS, без права на downgrade. Большинство популярных сайтов в этом списке. Но не все — особенно мелкие региональные сервисы.

Captive portal phishing

Подключаясь к Wi-Fi кафе, ты часто видишь экран «введите email для wifi». Атакующий поднимает свою сеть с тем же названием и красивой формой — запрашивает email и пароль «от Google» или просит загрузить «обновление сертификата» (зловред в виде .exe / .apk). Это даже не классический MITM — это банальный фишинг через знакомое окружение.

Это особенно эффективно в аэропортах и кафе сетевых брендов: ты ожидаешь captive portal, ты не присматриваешься.

Evil Twin (фейковая сеть с тем же именем)

Атакующий поднимает Wi-Fi с тем же SSID, что и легитимная сеть кафе, но с более сильным сигналом. Многие телефоны автоматически подключаются к «знакомой» сети, не различая, что это не та же самая. Дальше — все вышеперечисленное, потому что атакующий == точка доступа.

Что видит провайдер кафе (даже без злого умысла)

Это отдельная ось угрозы — даже если посторонних в сети нет, сам владелец сети видит примерно те же метаданные:

• DNS-запросы (если не используешь DoH/DoT)
• SNI HTTPS-соединений
• IP-адреса назначения
• Тайминг и объём трафика

Кафе обычно не интересуется этой информацией — но в РФ провайдер связи обязан хранить метаданные минимум 6 месяцев (СОРМ + закон Яровой). Если кафе использует MikroTik или подобное — логи там есть. Чьи-то.

Как закрыть очевидные дыры за 5 минут

В порядке усиления защиты, без покупок:

1. Включи HTTPS-Only в браузере

В Chrome: Settings → Privacy and security → Use Secure Connections → Always use Secure Connections. В Firefox: Settings → Privacy & Security → HTTPS-Only Mode → Enable. Браузер начнёт ругаться, если сайт пытается работать по HTTP, вместо того чтобы молча downgrade-нуться.

В Safari iOS — включён по умолчанию начиная с iOS 17.

2. Включи DNS-over-HTTPS

Это закрывает один из главных каналов утечки метаданных и защищает от DNS-spoofing.

• Windows 11: Settings → Network & Internet → Wi-Fi → твоя сеть → DNS server assignment → Edit → IPv4 → Manual → DNS over HTTPS: On.
• macOS: Settings → Privacy & Security → Profile → импорт DoH-профиля (например, Cloudflare или Quad9).
• iOS / Android: настройки private DNS — впиши dns.cloudflare.com или dns.quad9.net.
• Браузер: Chrome → Settings → Privacy and security → Use secure DNS; Firefox → Settings → Privacy & Security → DNS over HTTPS.

После включения DoH твой DNS уходит мимо провайдера и мимо потенциального атакующего в сети — прямо к выбранному резолверу.

3. Отключи автоподключение к открытым сетям

На телефоне это ключевая защита от Evil Twin. iOS: Settings → Wi-Fi → Ask to Join Networks → Ask. Android: Settings → Wi-Fi → Wi-Fi preferences → отключить «Connect to public networks».

4. Не вводи пароль на captive portal

Если кафе просит email/пароль — никогда не вводи реальный пароль. Используй одноразовый email-альяс, либо просто не подключайся к этой сети. Ни одна легитимная Wi-Fi-сеть не должна спрашивать пароль от Google.

5. Используй мобильную передачу данных, если можно

Самый простой и надёжный способ — раздавать интернет с телефона. Это выводит тебя из всех вышеперечисленных сценариев одним жестом.

Когда VPN-туннель действительно помогает

VPN — это шифрованный туннель к удалённому серверу. Весь твой трафик уходит внутри туннеля и расшифровывается только за его пределами, у провайдера VPN. Это решает несколько проблем разом:

• DNS-запросы идут внутри туннеля → провайдер кафе и атакующий не видят их вообще. (DoH делает почти то же самое, но VPN покрывает ещё и SNI и тайминг.)
• SNI скрыт — атакующий видит только адрес VPN-сервера.
• IP-адрес назначения скрыт — снова только адрес туннеля.
• Защита от Evil Twin работает по умолчанию: даже если ты подключился к «не той» сети, трафик внутри туннеля атакующий не расшифрует.

VPN не решает другие вещи, в которых его иногда обвиняют:

• Не защищает от фишинга (если ты сам введёшь пароль на поддельной странице — никакой VPN не поможет).
• Не делает тебя «анонимным» — провайдер VPN видит всё то же самое, что раньше видел провайдер кафе. Стоит выбирать VPN, которому доверяешь.
• Не защищает от вредоносных приложений на твоём устройстве — они работают внутри туннеля.

Так устроен Neva

Neva — это персональный шифрованный туннель, собранный по описанным выше принципам: трафик идёт через защищённый канал, журналов посещений мы не ведём, протокол под капотом неотличим от обычного HTTPS. Поддержка 5 устройств одновременно, три дня бесплатно без привязки карты — попробовать и посмотреть, как меняется поведение сети в кафе и аэропортах с включённым туннелем. Создать аккаунт →

Итог одной фразой

В 2026-м сидеть в открытом Wi-Fi кафе с HTTPS-Only браузером и DoH — относительно безопасно. Метаданные (куда ходишь, что смотришь) утекают, содержимое — нет. Если переживаешь за метаданные или работаешь с финансами — добавь VPN-туннель. Если хочешь максимум — раздавай мобильный интернет с телефона.

И никогда не вводи пароль от Google в captive portal.