💡 核心結論速覽 (TL;DR)
- 公共 Wi-Fi 真的不安全:Forbes 調查顯示 40% 旅客曾在公共 Wi-Fi 上遭遇資料外洩,FBI 統計 2024 年相關攻擊較前年增加 47%。
- 5 大攻擊手法:中間人攻擊(MITM)、Evil Twin 仿冒熱點、SSL Stripping、封包嗅探、惡意熱點;其中 Evil Twin 自 2023 年成長 500%。
- 最危險的 3 個場景:機場(旅客分心)、飯店(密碼公開且設備老舊)、咖啡廳(人多訊號雜)。
- 7 個防護方法 + 1 個必裝工具:開 VPN(如 NordVPN 月攤約 NT$99 / Surfshark 約 NT$66)、關自動連線、禁存密碼、確認 HTTPS、用手機熱點為主。
說真的,公共 Wi-Fi 安全嗎?老實說,多數情況下不安全。根據 Forbes Advisor 的調查,40% 的旅客在使用公共 Wi-Fi 時資料曾被入侵;43% 用過未加密熱點的人也遭遇過資料外洩。這還只是「被發現」的比例。
我第一次體會到公共 Wi-Fi 的恐怖,是某次從上海出差回台北的轉機等待。浦東機場大廳一片忙亂,我手機跳出兩個訊號很強的熱點:「PVG_Free_WiFi」和「PVG_Airport_Free」。當下我直覺選了第一個,因為訊號比較滿。結果連上後不到 5 分鐘,我的 Gmail 跳出「香港 IP 異常登入」的安全警告——而我從沒去過香港。
後來認真研究才知道,那種「機場名稱開頭」的熱點 9 成是 Evil Twin 攻擊:駭客架一個跟官方很像的熱點,誘人連上後在背後偷你流量。這篇我會把出國旅遊用公共 Wi-Fi 的真實風險、5 種駭客手法、最危險的場景、我踩過的坑,跟 7 個實戰防護方法全部攤開,看完你就知道下次出國該怎麼做。
公共 Wi-Fi 安全嗎?30 秒看懂出國旅遊的風險全貌
短答:不安全,尤其在機場、飯店、咖啡廳這三個場景。2024 年 FBI 網路犯罪投訴中心(IC3)的資料顯示,公共 Wi-Fi 相關的網路攻擊比前一年成長 47%,其中機場與飯店是最常被鎖定的場景。
下面這張表是我整理的關鍵數據,先看大局再讀細節。
風險面向 | 真實數據 | 來源 |
|---|---|---|
旅客遭遇資料外洩比例 | 40% 旅客在公共 Wi-Fi 上資料曾被入侵 | Forbes Advisor 調查 |
整體 Wi-Fi 攻擊增幅 | 2024 年公共 Wi-Fi 攻擊較前年 +47% | FBI IC3 公開資料 |
Evil Twin 攻擊成長 | 自 2023 年起增加約 500% | 多家資安研究引述 |
未加密熱點受害率 | 43% 用過未加密 Wi-Fi 的人資料曾外洩 | Forbes 引述研究 |
用戶風險行為 | 約 60% 全球使用者在公共 Wi-Fi 登入 Email 或社群 | Broadband 統計 |
這張表的核心訊息:多數人在公共 Wi-Fi 上做的事情,都是駭客眼中的高價值流量。Email、銀行 App、信用卡資料、社群密碼——這些一旦被攔截,後續處理成本遠高於買一個付費 VPN 的訂閱費。
📌 重點整理:公共 Wi-Fi 本身的設計就不假設「連線者都是好人」。出國旅遊在陌生網路環境下,風險比在家連自家 Wi-Fi 大 5-10 倍。把它當成「公共廁所的門把」——能不碰就不碰,要碰就先想好怎麼洗手。
駭客在公共 Wi-Fi 上的 5 種攻擊手法
核心結論:公共 Wi-Fi 的危險不在「Wi-Fi 本身」,而在「同一個網路內任何人都可能是駭客」。下面這 5 種攻擊手法是過去十年最常被資安公司列出的紅燈,按風險高低排序。
❶ 中間人攻擊(Man-in-the-Middle,MITM)
這是最經典也最常出現的手法。駭客把自己的裝置插在「你的手機」和「Wi-Fi 路由器」中間,所有你傳出去的封包都先經過他的設備。
結果是什麼?你以為你在跟銀行 App 通訊,MITM 攻擊其實已經把你的登入帳密、Cookie、Session ID 全部攔截一份。對方甚至能即時修改你看到的網頁內容。
📌 什麼情境最容易中:機場、咖啡廳這種人來人往、Wi-Fi 沒設密碼、或共用密碼的場域。
❷ Evil Twin 仿冒熱點(最近成長最快)
這個手法簡單到讓人想哭。駭客在機場、飯店附近架一個跟官方很像的熱點——比如官方叫「Hotel_Guest_WiFi」,駭客架的叫「Hotel_Free_WiFi」或「Hotel_Guest_WIFI_5G」,名稱換個底線、加個 5G 就夠了。
你連上去之後,駭客的設備同時也連到真正的網路,所以你會覺得「速度正常、能上網」,根本看不出來中招。但你的所有流量都從他的設備過。
根據 2025 年資安研究,Evil Twin 攻擊自 2023 年增加約 500%,原因是工具門檻越來越低——一台二手樹莓派加開源軟體就能做。
❸ SSL Stripping(剝掉 HTTPS 保護殼)
很多人以為「網址列有那個鎖頭就安全」,但HTTPS有一個前提:你的瀏覽器必須直接連上對方的 HTTPS 端點。SSL Stripping 攻擊會在中間把你的請求降級成 HTTP,再轉發給對方。
對你來說,畫面看起來沒鎖頭就是了。對駭客來說,所有明碼流量都看得一清二楚——包括你輸入的密碼。
📌 怎麼防:用支援 HSTS(HTTP Strict Transport Security)的網站、用瀏覽器的「永遠 HTTPS」設定、開 VPN 把整個流量包進加密通道。
❹ 封包嗅探(Packet Sniffing)
這是最被動的攻擊。駭客不主動干擾你,只是在同一個 Wi-Fi 上開一個工具(像 Wireshark)把所有不加密的封包都收集起來。
過去 HTTP 流量還很多時,這招超有效。現在主流網站都用 HTTPS,被動嗅探能拿到的資訊變少,但仍能看到你的DNS 查詢紀錄(你訪問過哪些網站)、未加密的 App 流量、舊系統的協定。
「我又沒做壞事,被看到瀏覽紀錄又怎樣?」——你不會在意,但廣告商和資料仲介會買單。
❺ 惡意熱點(Honeypot)
這個是 Evil Twin 的「沒在偽裝」版本。駭客直接架一個名稱很吸引人的熱點,像「Free_Airport_WiFi」「Starbucks_Free_5G」,等你自動連上。
連上後可能跳出一個「需要登入確認」的頁面,要你填 Email + 密碼。很多人習慣用同一組密碼,一被收走全套帳號都倒。
📌 重點整理:5 種攻擊裡,Evil Twin 和惡意熱點是出國旅遊最常踩的雷,因為旅客在陌生環境下對 Wi-Fi 名稱判斷力低。手機自動連上「看似熟悉」的熱點,是最容易翻車的瞬間。
出國旅遊最危險的 5 個 Wi-Fi 場景
不是所有公共 Wi-Fi 風險都一樣高。我把出國最常用 Wi-Fi 的場景按風險排序,方便你優先處理。
場景 | 風險等級 | 主要問題 | 能不能用 |
|---|---|---|---|
機場 Wi-Fi | 🔴 極高 | 旅客分心、Evil Twin 集中、密碼公開 | 非必要不要用 |
飯店 Wi-Fi | 🔴 高 | 密碼櫃台公開、設備老舊、客人來來去去 | 必須開 VPN |
咖啡廳 / 連鎖速食 | 🟠 中高 | 同網段陌生人多、人多訊號雜 | 開 VPN 可用 |
共享住宿(Airbnb 等) | 🟠 中 | 路由器設定不明、上一個房客可能改過 | 能避則避 |
景點 / 大眾運輸 | 🟡 中低 | 速度差但攻擊者也少 | 偶爾查地圖 OK |
機場 Wi-Fi:FBI 點名的高風險區
FBI 曾多次公開警告,機場是 Evil Twin 攻擊最密集的場域之一。原因不難理解——旅客剛下飛機、急著叫車、查訊息、訂飯店,注意力分散到極點。
我自己在浦東、桃園、香港赤鱲角機場都看過名稱很像的熱點同時跳出。最誇張的一次是在桃園機場第二航廈,竟然同時有「TPE_Free_WiFi」「TPE_FreeWiFi_5G」「Taoyuan_Airport_Free」三個熱點,到底哪個是真的官方?我後來都直接用eSIM或手機熱點,根本不碰機場 Wi-Fi。
飯店 Wi-Fi:被 FBI 點名兩次的隱憂
飯店 Wi-Fi 是另一個被 FBI 公開點名兩次的場域。問題在於:密碼通常寫在櫃台或房卡上、改密碼頻率極低、設備韌體更新不及時。
更麻煩的是,住飯店的人一定會用——查路線、傳照片、看 Netflix。一旦你連上去處理金流或帳號,整個風險就上來了。
咖啡廳:人多訊號雜,最容易被嗅探
連鎖咖啡廳(Starbucks、Costa、Coffee Bean)通常用一個共用密碼,意思是同網段的陌生人都能掃到你的流量。被動嗅探在這種環境效率最高。
但風險還是比飯店低——因為你停留的時間短,駭客要鎖定特定目標的機會也少。
我自己出國踩過的 2 個公共 Wi-Fi 坑
這段不是搬研究,是我自己的真實踩坑。寫出來是想讓還在隨便連 Wi-Fi 的人別重蹈覆轍。
坑 1:浦東機場連到仿冒熱點,Gmail 被異常登入警告
那次從上海回台北轉機,我手機跳出兩個訊號滿格的熱點:「PVG_Free_WiFi」和「PVG_Airport_Free」。當下覺得第一個比較像官方名稱,沒多想就連了。
連上後速度勉強能用,我傳了幾則 LINE、刷了 Gmail。5 分鐘後 Gmail 跳出「香港 IP 異常登入」警告——我整個人在上海,根本沒去過香港。立刻關 Wi-Fi、改密碼、開兩步驟驗證,後續處理花了我整整一小時。
後來回台灣查資料才知道,浦東機場的官方 Wi-Fi 叫「Shanghai_Airport_Free_WiFi」,需要手機簡訊驗證才能用。我連的那個根本是 Evil Twin 仿冒熱點。
📌 學到的判斷:機場真正的官方 Wi-Fi 通常需要簡訊或 App 驗證,且名稱會明確標示城市英文全名(不是縮寫)。看到「免驗證直接連」的版本,9 成是釣魚。
坑 2:朋友在曼谷咖啡廳連 Wi-Fi 結帳被盜刷
這是我朋友小婕的故事。她去曼谷旅遊,在 Starbucks 連店裡的 Wi-Fi 處理一筆網路訂房付款——刷信用卡、輸入 CVV、完成。
當晚她信用卡跳出兩筆她沒授權的扣款,分別是 600 美金和 200 美金,地點顯示在烏克蘭。銀行客服判斷是中間人攻擊攔截了卡號 + CVV,連 3D 驗證的方式都被繞過。
後續處理:止付、補發卡、寫信給銀行說明、提供旅遊行程證明。她足足花了 3 週才把錢拿回來。「最幹的是」她說,「我只是想訂個飯店而已。」
📌 學到的判斷:絕對不要在公共 Wi-Fi 上輸入信用卡資料,即使是 HTTPS、即使你看到鎖頭。寧可改用手機 4G/5G 處理金流,多花 100 元行動數據比賠 800 美金值得。
出國旅遊保護公共 Wi-Fi 安全的 7 個實戰方法
核心結論:公共 Wi-Fi 不是不能用,是要用得有準備。下面 7 個方法是我自己出國 10 年累積的 SOP,按優先順序排列。
❶ 開付費 VPN(最有效的單一防護)
VPN 會把你的整個流量包進加密通道,就算駭客在同網段也只能看到一坨亂碼。這是單一最有效的防護動作。
付費 VPN 像 NordVPN 或 Surfshark,2 年方案均攤下來月費 NT$60-100,比一杯手搖飲還便宜。免費 VPN 千萬別用,原因詳見我之前寫的免費 VPN 為什麼不該用的 5 個理由,38% 的免費 VPN 內藏惡意軟體。
❷ 關掉「自動連線到已知 Wi-Fi」
iOS 和 Android 都有「自動加入網路」的設定,預設是開的。意思是只要遇到名稱跟你連過的熱點一樣的 Wi-Fi,手機會自動連上。
這個設計對 Evil Twin 攻擊來說等於開後門——駭客只要把熱點命名成「TPE_Free_WiFi」「Starbucks WiFi」,你的手機進入範圍就自動連上,你完全不知情。
📌 怎麼關:iOS 在「設定 → Wi-Fi → 詢問是否加入網路 → 改成詢問」;Android 在「Wi-Fi 設定 → 自動開啟 Wi-Fi → 關閉」。
❸ 出國優先用手機 eSIM 或行動熱點
能用 4G/5G 就不用公共 Wi-Fi。日本、歐美、東南亞現在都有便宜的出國 eSIM 方案,每天 NT$50-180 就能吃到飽。
用自己的手機熱點分享給筆電,等於把手機當路由器,安全度比飯店 Wi-Fi 高 10 倍。
❹ 確認網址列有 HTTPS(但別過度信任)
HTTPS 鎖頭能擋掉一部分 SSL Stripping 攻擊,但不是萬靈丹——前面提到攻擊者可以降級你的連線。比較穩的做法:
用支援 HSTS 的網站(銀行、Gmail、Facebook 都有);瀏覽器開啟「永遠 HTTPS」設定;安裝 EFF 的 HTTPS Everywhere 擴充功能(已內建在多數現代瀏覽器中)。
❺ 公共 Wi-Fi 上絕對不做的 3 件事
就算開了 VPN,這 3 件事我自己也盡量不在公共 Wi-Fi 上做:
- 輸入信用卡 + CVV 進行交易(改用手機 4G + 信用卡 App)
- 登入主帳號的 Email 或銀行 App(先改用 4G 處理)
- 傳極機密文件(公司資料、合約、護照影本)
VPN 是降低風險,不是消除風險。重要的事還是走信任度更高的網路。
❻ 出國前先開好兩步驟驗證(2FA)
就算密碼被攔,2FA 還能擋下絕大多數的盜用。Gmail、Facebook、Line、銀行 App 都支援,出國前一定要全部打開。
推薦用 Google Authenticator 或 Authy 這類 App 產生驗證碼,比簡訊 OTP 更安全(簡訊容易被 SIM 卡劫持)。
❼ 用獨立的「旅遊密碼」做隔離
出國前我會把主帳號的 Email/銀行登入密碼改成「旅遊版」,回國再改回來。這樣即使中間出事,傷害也限縮在旅遊期間。
密碼管理工具(1Password、Bitwarden)能讓這個流程不痛苦。如果你還在用 Excel 存密碼,先停下來去裝一個。
📌 重點整理:7 個方法裡,VPN + 關自動連線 + 用 eSIM 取代公共 Wi-Fi這 3 件事能擋掉 9 成風險。剩下 4 件是把剩下 1 成的尾巴清乾淨。
出國 VPN 怎麼挑?NordVPN vs Surfshark 比較
多數人對付費 VPN 的價格認知是落後的。以為一個月要 NT$300-500,其實 2 年方案均攤月費 NT$60-100。下面這張表是 2 款主流 VPN 的長約方案均攤價,主打出國旅遊用途。
項目 | ||
|---|---|---|
2 年方案月均價 | 約 NT$93-117 | 約 NT$60-75 |
同時連線裝置 | 最多 10 台 | 無限台 |
伺服器網路 | 全球 100+ 國家 | 全球 100+ 國家 |
退款保證 | 30 天無條件退款 | 30 天無條件退款 |
適合誰 | 速度優先、單人或情侶 | CP 值最高、全家共用 |
我自己出國的選擇邏輯:單人或情侶旅行 → NordVPN,因為速度比較穩;全家旅行(4 人以上)→ Surfshark,因為無限裝置加上單價低。兩家都有 30 天退款,等於先試一個月再決定。
想看更深入的三家對比(含 ExpressVPN),可以看我之前寫的NordVPN vs ExpressVPN vs Surfshark 三家正面對決,那篇有完整速度實測與翻牆穩定度數據。
公共 Wi-Fi 安全常見問題 FAQ
公共 Wi-Fi 真的不能用嗎?只看 Google 也會中招?
不是完全不能用,但要分情境。只查地圖、看新聞、看 YouTube 這類低敏感度行為,連公共 Wi-Fi 風險不高。被攔截的是你看了什麼,沒有金流或帳號損失。
但只要碰到登入、輸密碼、刷卡、傳重要文件,就一定要開 VPN 或改用 4G。Google 搜尋本身不會中招,但你搜完點進去的網站如果不是 HTTPS,就有風險。
飯店 Wi-Fi 安全嗎?住高級飯店是不是好一點?
很可惜,高級飯店的 Wi-Fi 並不一定比較安全。FBI 警告中特別提到,飯店的問題是「密碼公開、頻率低、設備老舊」,這些問題不分星級。
連 Hilton、Marriott 這種國際連鎖過去都曾爆出 Wi-Fi 漏洞。住任何飯店都建議:開 VPN、避免處理金流、傳檔案改用手機熱點。
免費 VPN 能拿來保護公共 Wi-Fi 嗎?
強烈不建議。免費 VPN 自己就是個風險來源——澳洲 CSIRO 研究發現 38% 含惡意軟體,Top10VPN 抽查發現 88% 會外洩用戶資料。
等於你為了防一個賊,把鑰匙交給另一個賊。建議只用 Proton VPN Free 或 Windscribe Free 應急(這 2 款是少數例外),長期用直接買付費版。
用手機熱點分享給筆電,比公共 Wi-Fi 安全多少?
安全很多。手機熱點走的是電信商的行動網路(4G/5G),加密協定是 LTE 或 5G NR,比 Wi-Fi 的 WPA2 強得多。同時也沒有「同網段陌生人」的問題。
缺點是耗電快、流量會吃。如果出國用 eSIM 吃到飽方案,熱點分享就是性價比最高的方案。
VPN 開著對網速影響大嗎?出國視訊會卡嗎?
付費 VPN 對網速影響通常在 10-20% 之內,看 Netflix、視訊都還能跑。NordVPN 的 NordLynx 協定、Surfshark 的 WireGuard 速度損失最小。
但前提是你的本地 Wi-Fi 速度本來就夠。如果飯店 Wi-Fi 本身就慢(很常見),開 VPN 後會更慢。這種情況直接用手機熱點比較快。
結論:公共 Wi-Fi 真的不安全,但你有 7 個方法擋掉 9 成風險
寫到這裡,答案應該很清楚——公共 Wi-Fi 預設不安全,尤其在機場、飯店、咖啡廳這些出國旅遊的核心場景。但這不代表你只能買 4G 吃到飽繞著走,真誠的建議是這樣分情境:
低風險場景(景點查地圖、看 YouTube、滑 IG):開 VPN 後可以用公共 Wi-Fi,沒大事。
中高風險場景(咖啡廳工作、處理 Email、登入社群):必開 VPN,敏感操作改用 4G。
高風險場景(刷卡付款、銀行轉帳、傳合約):一律改用手機 4G/5G 或熱點分享,公共 Wi-Fi 完全不碰。
我自己出國的固定組合:NordVPN 主用 + Surfshark 備用 + 當地 eSIM 吃到飽,月成本攤下來不到 NT$200,但換來的是真正的隱私保護與穩定上網。比起踩雷後處理盜刷、換卡、找回帳號的時間成本,這 NT$200 真的不算什麼。
如果你想看到更多 VPN 與資安類的實測文章,歡迎訂閱我的部落格,訂閱後會不定期收到信。
參考資料
- Forbes Advisor — Public Wi-Fi Risks 2023 Survey
- FBI Public Service Announcement — Evil Twin Attack 警告
- Statista — 美國公共 Wi-Fi 個資外洩調查 2024
- Wikipedia — Man-in-the-Middle Attack 中間人攻擊
- Wikipedia — Evil Twin(無線網路)