更多

    慎防 Zoom 會議被騎劫! HKCERT 10 招安全建議保平安

    Mickey Chan
    Mickey Chan
    愛模擬飛行、希望終有一日回到單車上的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    現在很多機構和學校都會用到 Zoom 進行視像會議和教學,不過近日 Zoom 就接連被揭發有很多安全問題,尤其是有惡惡意份子會闖入沒有做好安全設定的會議,散布惡意信息甚至竊取用戶資料。香港電腦保安事故協調中心( HKCERT )日前就在網站上發表文章,提供 10 招給 Zoom 用戶,希望提高網上會議安全。

    HKCERT 指現在有一種針對 Zoom 用戶的新興網絡攻擊 ,稱為「 Zoom-bombing 」或「 Video-teleconferencing hijacking 」,攻擊者會嘗試登入未有做好安全設定的 Zoom 會議,或者利用軟件早前的漏洞來搜尋可用的會議 ID 闖入會議,竊聽會議內容,甚至騎劫會議、散布不當信息或惡意軟件。

    另外,闖入會議的惡意分子又可以利用 Zoom 將 Windows 系統的 UNC 路徑(如 \\evil.server.com\images\cat.jpg )變成可按連結的漏洞,用戶不小心點擊惡意份子散布的 UNC 連結,就會將用戶的登錄名和 NTLM 密碼雜湊( hashed password )發送到遠程伺服器,惡意份子就可以收集與會者的個人資料來進行其他攻擊。

    HKCERT 向所有 Zoom 用戶和主持會議的單位發出 10 點建議:

    1. 所有Zoom用戶
      1. 使用最新版本的 Zoom 軟件和保安軟件
        • 只在其官方網站或官方應用程式商店下載軟件
        • 經常保持軟件至最新版本
        • 經常更新操作系統(包括桌面電腦及流動裝置)及保安軟件
      2. 提防任何不明的 UNC 連結
        • 不要點擊任何可疑的 UNC 連結
        • (適用於專業 Windows 用戶)設置 Group policy 以停止傳送 NTLM 密碼
      3. 切勿在會議期間分享機密資訊
        • Zoom 並未支援完全的端到端加密(端到端加密是指除指定人士外,連服務供應商 Zoom 亦無法查看會議的內容)
        • 避免討論任何機密資料以防止外洩
      4. 使用有意義的顯示名稱
        • 避免使用誤導性名稱或網上暱稱,讓主持人更容易識別與會者
      5. 小心保護你的Zoom 帳戶及留心可疑的帳戶活動
        • 帳戶應設立一個高強度的帳戶密碼
        • 若發現可疑情況,請登出所有 Zoom 用戶端(如遺失電腦或手機,應立即登出所有用戶端,並更改登入密碼)
        • 切勿隨意分享或公開主辦方傳送的會議 ID 和網址
    2. 主持會議的單位
      1. 保護會議私密性及防止非法入侵者
        • 只向與會者分享會議 ID 和網址。切勿將其分享到社交媒體或公開的網絡平台
        • 每次會議都設立不同的會議 ID 和密碼(最新版本的 Zoom 會預先啟用會議密碼設定,並新增了防止用隨機掃描會議 ID 的方法來加入會議的措施。)
        • 設立高強度的會議密碼,並分開發送會議網址給與會者
        • 使用預先登記功能來控制與會者名單
        • 禁用「在主持人之前加入會議( Join before Host )」選項,確保主持人在與會者加入會議前已經在場,讓主持人預先識別與會者
        • 善用等候室功能來控制誰可登入會議
        • 當所有與會者都加入會議後立即鎖上會議
        • 設定分享螢幕至 「只限主持人( Only Host )」,並只在有需要時才開放此功能給與會者
      2. 監察會議
        • 使用另一部裝置以與會者身份登入
        • 監察與會者分享的任何不當內容,移除不合適的資訊和身份不明人士
      3. 小心處理會議錄像以確保安全及保護與會者私隱
        • 如果要進行錄影,應預先通知所有與會者
        • 如果錄像內含有敏感資料,應將該錄像保存於個人電腦中,而非雲端內,並設置適當的存取權限,僅共享給可信任人士
      4. 保密你的帳號個人會議( Personal Meeting ) ID
        • 此 ID 可連結至你的 Zoom 帳戶,所以只應作個人使用
        • 切勿分享此 ID 或用於一般會議中
      5. 為網絡會議制定有關的保安政策
        • 公司應制定相關的保安政策,供員工於主持和參加網上會議時遵循
        • 相關政策應涵蓋使用守則及安全控制

    HKCERT 指這 10 項建議也適用於其他同類網絡會議軟件,類似軟件如 Cisco Webex 或 Microsoft Teams 等都有類似的設定。但不論選擇哪種方案,亦應在使用前先了解其安全功能及弱點,以便更有效地保障網絡會議安全。

    小心偽冒 Zoom 的釣魚攻擊

    HKCERT 同時指出黑客會繼續利用 Zoom 的普及性來發動不同網絡攻擊。據報道,自疫情爆發期間,有大量偽冒 Zoom 的域名註冊,會被用來散播釣魚詐騙或偽裝成 Zoom 的惡意軟件來引誘用戶安裝,用戶應該保持警惕,不要點擊可疑連結或開啟可疑電郵附件。

    資料來源: 香港電腦保安事故協調中心

    您會感興趣的內容

    相關文章