慎防 Zoom 会议被骑劫! HKCERT 10 招安全建议保平安
现在很多机构和学校都会用到 Zoom 进行视像会议和教学,不过近日 Zoom 就接连被揭发有很多安全问题,尤其是有恶恶意份子会闯入没有做好安全设定的会议,散布恶意信息甚至窃取用户资料。香港电脑保安事故协调中心( HKCERT )日前就在网站上发表文章,提供 10 招给 Zoom 用户,希望提高网上会议安全。
HKCERT 指现在有一种针对 Zoom 用户的新兴网络攻击 ,称为" Zoom-bombing "或" Video-teleconferencing hijacking ",攻击者会尝试登入未有做好安全设定的 Zoom 会议,或者利用软件早前的漏洞来搜寻可用的会议 ID 闯入会议,窃听会议内容,甚至骑劫会议、散布不当信息或恶意软件。
另外,闯入会议的恶意分子又可以利用 Zoom 将 Windows 系统的 UNC 路径(如 \\evil.server.com\images\cat.jpg )变成可按连结的漏洞,用户不小心点击恶意份子散布的 UNC 连结,就会将用户的登录名和 NTLM 密码杂凑( hashed password )发送到远程服务器,恶意份子就可以收集与会者的个人资料来进行其他攻击。
HKCERT 向所有 Zoom 用户和主持会议的单位发出 10 点建议:
- 所有Zoom用户
- 使用最新版本的 Zoom 软件和保安软件
- 只在其官方网站或官方应用程序商店下载软件
- 经常保持软件至最新版本
- 经常更新操作系统(包括桌面电脑及流动装置)及保安软件
- 提防任何不明的 UNC 连结
- 不要点击任何可疑的 UNC 连结
- (适用于专业 Windows 用户)设置 Group policy 以停止传送 NTLM 密码
- 切勿在会议期间分享机密资讯
- Zoom 并未支援完全的端到端加密(端到端加密是指除指定人士外,连服务供应商 Zoom 亦无法查看会议的内容)
- 避免讨论任何机密资料以防止外泄
- 使用有意义的显示名称
- 避免使用误导性名称或网上昵称,让主持人更容易识别与会者
- 小心保护你的Zoom 账户及留心可疑的账户活动
- 账户应设立一个高强度的账户密码
- 若发现可疑情况,请登出所有 Zoom 用户端(如遗失电脑或手机,应立即登出所有用户端,并更改登入密码)
- 切勿随意分享或公开主办方传送的会议 ID 和网址
- 使用最新版本的 Zoom 软件和保安软件
- 主持会议的单位
- 保护会议私密性及防止非法入侵者
- 只向与会者分享会议 ID 和网址。切勿将其分享到社交媒体或公开的网络平台
- 每次会议都设立不同的会议 ID 和密码(最新版本的 Zoom 会预先启用会议密码设定,并新增了防止用随机扫描会议 ID 的方法来加入会议的措施。)
- 设立高强度的会议密码,并分开发送会议网址给与会者
- 使用预先登记功能来控制与会者名单
- 禁用"在主持人之前加入会议( Join before Host )"选项,确保主持人在与会者加入会议前已经在场,让主持人预先识别与会者
- 善用等候室功能来控制谁可登入会议
- 当所有与会者都加入会议后立即锁上会议
- 设定分享屏幕至 "只限主持人( Only Host )",并只在有需要时才开放此功能给与会者
- 监察会议
- 使用另一部装置以与会者身份登入
- 监察与会者分享的任何不当内容,移除不合适的资讯和身份不明人士
- 小心处理会议录像以确保安全及保护与会者隐私
- 如果要进行录影,应预先通知所有与会者
- 如果录像内含有敏感资料,应将该录像保存于个人电脑中,而非云端内,并设置适当的存取权限,仅共享给可信任人士
- 保密你的账号个人会议( Personal Meeting ) ID
- 此 ID 可连结至你的 Zoom 账户,所以只应作个人使用
- 切勿分享此 ID 或用于一般会议中
- 为网络会议制定有关的保安政策
- 公司应制定相关的保安政策,供员工于主持和参加网上会议时遵循
- 相关政策应涵盖使用守则及安全控制
- 保护会议私密性及防止非法入侵者
HKCERT 指这 10 项建议也适用于其他同类网络会议软件,类似软件如 Cisco Webex 或 Microsoft Teams 等都有类似的设定。但不论选择哪种方案,亦应在使用前先了解其安全功能及弱点,以便更有效地保障网络会议安全。
小心伪冒 Zoom 的钓鱼攻击
HKCERT 同时指出黑客会继续利用 Zoom 的普及性来发动不同网络攻击。据报道,自疫情爆发期间,有大量伪冒 Zoom 的域名注册,会被用来散播钓鱼诈骗或伪装成 Zoom 的恶意软件来引诱用户安装,用户应该保持警惕,不要点击可疑连结或开启可疑电邮附件。
资料来源: 香港电脑保安事故协调中心
相关文章
阅览更多网络热话相关文章
- Google Play 商店应用也不安全,许多 Android 应用程序还在用过时版本核心库
- 免费的 Auto Office L1 系统单机版,提高公司运作效率以达到降低成本
- 如何查看过往 Facebook 按赞互动、留言、被标注的动态活动记录?快速找出你要的内容
- 免费素材资源与线上工具整理,2020年12月号
- Claunch 快速启动免费小工具,可自订 Windows 常用的应用程序、文件、资料夹、网站等等
- 免费可商业使用的 Paper-co 高品质纸张素材库(400多款)
- Vector Club 免费向量图档,可商用并支援 AI 及 EPS 档
- SDelete-Gui 可完全删除重要档案,谁都无法恢复的免费工具
- 适合长辈观看的 Youtube 频道列表,手刀帮爸妈订阅起来
- Xbox 推出家长管理 app !! 控制细路打机时间