Вы сидите в кафе за чашкой кофе, подключаетесь к бесплатному Wi-Fi, чтобы быстренько оплатить коммуналку. Или в аэропорту — проверить билеты через приложение банка. Или в отеле — скачать пару документов по работе. Всё это выглядит абсолютно обыденно, и, если честно, 9 из 10 раз всё действительно проходит без инцидентов. Но тот одиннадцатый раз, когда в сети сидит скучающий студент с Kali Linux или просто тихий оператор сканера Wireshark, может стоить вам денег, аккаунта или нервов.
В 2026 году публичные Wi-Fi-сети стали одновременно и гораздо безопаснее (браузеры жёстче, HTTPS повсюду), и более хитрыми мишенями (атакующие научились ловить пользователей на мелочах). Разберёмся, что реально опасно, что — городские легенды, и как сидеть в любой кафе-сети спокойно.
Если коротко
- HTTPS покрывает 95% риска автоматически. Проверяйте, что в адресной строке — замочек и корректный домен.
- Главная реальная угроза — поддельная сеть-двойник («Starbucks_Free_WiFi» в соседнем кафе), а не злоумышленник внутри настоящей сети.
- VPN полностью снимает 90% оставшегося риска. Автообновления, 2FA и здравый смысл закрывают остаток.
Что реально изменилось к 2026 году
Старые гайды 2015-2018 годов пугали, что в открытой Wi-Fi «любой сниффером перехватит ваш пароль от Gmail». В 2026 это уже почти неправда, и вот почему:
- Больше 95% трафика в интернете идёт через HTTPS — Cloudflare, Google, Apple и регуляторы сделали HTTP де-факто вне закона.
- DNS-over-HTTPS включён по умолчанию в Firefox и Chrome в большинстве стран — ваш ISP больше не видит, на какие сайты вы ходите.
- Encrypted Client Hello (ECH) начал скрывать даже имя домена в TLS-рукопожатии.
- TLS 1.3 убрал большинство slow-downgrade-атак, которые раньше работали на публичном Wi-Fi.
Это не значит, что риска нет. Это значит, что риск переехал — с перехвата трафика на социальную инженерию и целевые атаки. Разберёмся подробнее.
Что реально опасно в публичной сети
1. Сеть-двойник (Evil Twin)
Атакующий разворачивает свою точку доступа с тем же именем, что и у кафе — «Starbucks_Guest». Ваш телефон, видя знакомое имя, подключается к ней автоматически. Атакующий стоит между вами и интернетом (MITM). Дальше — либо подсовывает вам phishing-страницы (типа «введите пароль к вашему банку для подключения к Wi-Fi»), либо собирает метаданные о вашем трафике.
Защита: в настройках Wi-Fi на телефоне выключите «Автоматическое подключение» для публичных сетей. И никогда не вводите банковские пароли на страницах, которые открылись «при подключении к Wi-Fi».
2. Captive Portal с сюрпризом
Классическая страница «Для выхода в интернет примите условия использования». Вроде нормальная процедура. Но иногда за этим порталом прячется требование залогиниться через соцсеть, после чего атакующий получает токен, и дальше может действовать от вашего имени.
Защита: если на captive-портале просят авторизоваться через «Войти через Google/Apple/ВК» — не делайте этого. Либо пропустите Wi-Fi и используйте мобильный интернет, либо попросите у персонала одноразовый пароль.
3. DNS-подмена на роутере кафе
Иногда сам роутер заведения (не обязательно злонамеренно — бывает, что провайдер установил DNS для фильтрации) подменяет DNS-ответы. Раньше это позволяло перехватывать неHTTPS-сессии. Сейчас с DoH/DoT проблема в основном в том, что подменённый DNS может редиректить на рекламную страницу вместо нужного сайта.
Защита: держите DNS-over-HTTPS включённым в браузере (`Settings → Privacy → DNS over HTTPS → Cloudflare 1.1.1.1`). Браузер перестанет обращать внимание на DNS роутера.
4. Кража сессионных cookie через Wi-Fi-вещание
Классика 2010-х (инструмент Firesheep) — сниффер в открытой сети перехватывал cookie сайтов, которые работали по HTTP. В 2026 почти все серьёзные сайты делают Secure/HttpOnly cookie и работают только по HTTPS — атака мёртвая. Кроме одного исключения: старые Android-приложения, которые ещё ходят на API по HTTP. Если у вас на телефоне висит что-то корпоративное и неподдерживаемое — это единственный реальный вектор.
5. Атаки на IoT вашего же устройства
В публичной сети вы в одной локалке с десятками других устройств. Если у вас на телефоне крутится общедоступный Samba-шаринг, AirPlay без пароля или что-то в этом роде — любой в сети может к нему достучаться. На iOS/Android по умолчанию такого нет, но на Windows-ноутбуке с общим доступом — легко.
Защита: когда Windows спрашивает «Это общественная сеть или домашняя?», всегда отвечайте «Общественная». Файрвол заблокирует все входящие.
Городские легенды, которые не страшны
- «В открытом Wi-Fi перехватят ваш пароль от Gmail». Если это Gmail — там HTTPS + HSTS + Security keys, перехватить нечего.
- «Откройте ссылку и взломают ваш телефон». Для эксплойта нужна известная уязвимость в браузере плюс конкретная нагрузка. Для обычного пользователя с обновлённой ОС — вероятность исчезающе мала.
- «Использовать общественный Wi-Fi для банка — самоубийство». При включённом HTTPS и официальном приложении банка — ничем не хуже, чем дома. Но для дополнительной уверенности используйте мобильные данные или VPN.
- «Мой трафик видит хозяин кафе». Он видит, что вы подключились, что вы пробыли онлайн 40 минут и, возможно, какие домены смотрели (если у вас нет DoH). Содержимого страниц — нет.
Практический чеклист перед подключением
- Проверьте имя сети. Похоже на настоящее? Два варианта «Kofeinya_Guest» и «Kofeinya_Guest_FREE» — минимум у одного из них вредоносные намерения.
- Отключите автоподключение ко всем публичным Wi-Fi в настройках ОС.
- Перед вводом любых паролей — посмотрите на адресную строку: замочек, правильный домен, никакого `http://`.
- Не подключайтесь к банковскому или рабочему аккаунту через соцсеть на captive-портале.
- Если планируете долго сидеть — включите VPN. Возьмёт на себя то, что не берёт HTTPS.
- Отключите sharing на Windows-ноутбуке, AirDrop на iPhone (настройка «Только для контактов»), File Sharing на Mac.
VPN — нужно или нет
Короткий ответ — нужен, но не только из-за Wi-Fi. Хороший платный VPN даёт три вещи поверх HTTPS:
- Скрывает сам факт того, какие домены вы посещаете — даже от DNS-логирующих роутеров.
- Делает сложнее атаки на IoT-уязвимости вашего устройства (атакующий в Wi-Fi видит только зашифрованный тоннель к серверу VPN, а не конкретные порты на вашем устройстве).
- Защищает от подделки DNS, если вы по какой-то причине отключили DoH в браузере.
VPN не защитит от фишинга (если вы сами ввели пароль на фальшивом сайте — он ушёл), не защитит от украденного устройства, не защитит от уязвимостей уже установленных приложений. Но для публичного Wi-Fi — это правильный инструмент.
Мобильные данные vs Wi-Fi
Спорный момент: мобильный интернет обычно безопаснее публичного Wi-Fi — потому что в нём нет посторонних в вашей локалке. Но у него свои особенности: мобильный оператор логирует ваши соединения и может передавать данные по запросу властей гораздо проще, чем случайный кафе-Wi-Fi. Выбор — какой угрозы вы больше опасаетесь.
Практичный компромисс: включите раздачу с телефона (персональный хотспот) для ноутбука — получите и изоляцию от чужих в сети, и удобство ноутбучного интерфейса.
Особый случай: отель, самолёт, аэропорт
Три места, где риск чуть выше среднего:
Отельный Wi-Fi
Часто требует регистрации по номеру комнаты + фамилии. Это само по себе фингерпринт — вы гарантированно залогинены под своим именем. Содержимое трафика шифровано HTTPS, но метаданные сохраняются у оператора на много месяцев.
Самолётный Wi-Fi
Обычно через спутниковый канал с высокой задержкой. Технически шифрование полностью работает, но некоторые операторы (Gogo, Panasonic) перехватывают DNS для оптимизации. Держите DoH включённым.
Аэропортный Wi-Fi
Огромное количество людей, постоянная ротация — идеальная среда для Evil Twin. Именно здесь чаще всего ловят на «похожих» именах сетей. Смотрите в официальные источники аэропорта (на билбордах или табло) — там обычно указано точное имя официальной сети.
Частые вопросы
Стоит ли всегда включать VPN в публичном Wi-Fi?
Да, это правильная привычка. Небольшой overhead по скорости — 5-10% — окупается спокойствием и защитой от нестандартных атак.
Безопаснее ли закрытые Wi-Fi с паролем?
Немного да. Общий пароль всё ещё означает, что 50 человек в кафе знают одну и ту же фразу, и шифрование между вами и роутером общеизвестно. Лучше, чем открытый Wi-Fi, но не в корне.
Могут ли украсть мои фотографии, если я подключился к отельному Wi-Fi?
Только если вы сами их куда-то загружаете в момент атаки. Локальные файлы недоступны извне (если Windows-файрвол настроен правильно).
Нужно ли включать VPN на смартфоне?
Да, и это проще — любой нормальный VPN-провайдер имеет мобильное приложение. Включил — забыл.
Почему банк/Госуслуги иногда просят повторный логин после Wi-Fi?
Это не взлом — это обычная проверка контекста (сменился IP/сеть). Нормальное поведение безопасного приложения.
Если я уже подключился к подозрительному Wi-Fi — что делать?
Отключитесь. В настройках ОС «забудьте» эту сеть, чтобы телефон не подключался автоматически в будущем. Если вы успели где-то залогиниться — смените пароли на этих сервисах с безопасной сети и включите 2FA где ещё не включено.