現在很多機構和學校都會用到 Zoom 進行視像會議和教學,不過近日 Zoom 就接連被揭發有很多安全問題,尤其是有惡意份子會闖入沒有做好安全設定的會議,散布惡意信息甚至竊取用戶資料。香港電腦保安事故協調中心( HKCERT )日前就在網站上發表文章,提供 10 招給 Zoom 用戶,希望提高網上會議安全。

HKCERT 指現在有一種針對 Zoom 用戶的新興網絡攻擊 ,稱為「 Zoom-bombing 」或「 Video-teleconferencing hijacking 」,攻擊者會嘗試登入未有做好安全設定的 Zoom 會議,或者利用軟件早前的漏洞來搜尋可用的會議 ID 闖入會議,竊聽會議內容,甚至騎劫會議、散布不當信息或惡意軟件。

另外,闖入會議的惡意分子又可以利用 Zoom 將 Windows 系統的 UNC 路徑(如 evil.server.comimagescat.jpg )變成可按連結的漏洞,用戶不小心點擊惡意份子散布的 UNC 連結,就會將用戶的登錄名和 NTLM 密碼雜湊( hashed password )發送到遠程伺服器,惡意份子就可以收集與會者的個人資料來進行其他攻擊。

 

HKCERT 向所有 Zoom 用戶和主持會議的單位發出 10 點建議:

A) 所有 Zoom 用戶

    1. 使用最新版本的 Zoom 軟件和保安軟件
        .只在其官方網站或官方應用程式商店下載軟件
        .經常保持軟件至最新版本
        .經常更新操作系統(包括桌面電腦及流動裝置)及保安軟件

    2. 提防任何不明的 UNC 連結
       .不要點擊任何可疑的 UNC 連結
       .(適用於專業 Windows 用戶)設置 Group policy 以停止傳送 NTLM 密碼
   

    3. 切勿在會議期間分享機密資訊

       .Zoom 並未支援完全的端到端加密(端到端加密是指除指定人士外,連服務供應商 Zoom 亦無法查看會議的內容)

       .避免討論任何機密資料以防止外洩
   

    4. 使用有意義的顯示名稱
       .避免使用誤導性名稱或網上暱稱,讓主持人更容易識別與會者

    5. 小心保護你的Zoom 帳戶及留心可疑的帳戶活動
       .帳戶應設立一個高強度的帳戶密碼
       .若發現可疑情況,請登出所有 Zoom 用戶端(如遺失電腦或手機,應立即登出所有用戶端,並更改登入密碼)
       .切勿隨意分享或公開主辦方傳送的會議 ID 和網址
 

B) 主持會議的單位
   

    6. 保護會議私密性及防止非法入侵者
       .只向與會者分享會議 ID 和網址。切勿將其分享到社交媒體或公開的網絡平台
       .每次會議都設立不同的會議 ID 和密碼(最新版本的 Zoom 會預先啟用會議密碼設定,並新增了防止用隨機掃描會議 ID 的方法

           來加入會議的措施。)
       .設立高強度的會議密碼,並分開發送會議網址給與會者
       .使用預先登記功能來控制與會者名單
       .禁用「在主持人之前加入會議( Join before Host )」選項,確保主持人在與會者加入會議前已經在場,讓主持人預先識別與會者
           善用等候室功能來控制誰可登入會議
       .當所有與會者都加入會議後立即鎖上會議
       .設定分享螢幕至 「只限主持人( Only Host )」,並只在有需要時才開放此功能給與會者
     

    7. 監察會議
        .使用另一部裝置以與會者身份登入
        .監察與會者分享的任何不當內容,移除不合適的資訊和身份不明人士
     

    8. 小心處理會議錄像以確保安全及保護與會者私隱
        .如果要進行錄影,應預先通知所有與會者
        .如果錄像內含有敏感資料,應將該錄像保存於個人電腦中,而非雲端內,並設置適當的存取權限,僅共享給可信任人士
     

    9. 保密你的帳號個人會議( Personal Meeting ) ID
        .此 ID 可連結至你的 Zoom 帳戶,所以只應作個人使用
        .切勿分享此 ID 或用於一般會議中
   

  10. 為網絡會議制定有關的保安政策
        .公司應制定相關的保安政策,供員工於主持和參加網上會議時遵循
        .相關政策應涵蓋使用守則及安全控制

HKCERT 指這 10 項建議也適用於其他同類網絡會議軟件,類似軟件如 Cisco Webex 或 Microsoft Teams 等都有類似的設定。但不論選擇哪種方案,亦應在使用前先了解其安全功能及弱點,以便更有效地保障網絡會議安全。

小心偽冒 Zoom 的釣魚攻擊
HKCERT 同時指出黑客會繼續利用 Zoom 的普及性來發動不同網絡攻擊。據報道,自疫情爆發期間,有大量偽冒 Zoom 的域名註冊,會被用來散播釣魚詐騙或偽裝成 Zoom 的惡意軟件來引誘用戶安裝,用戶應該保持警惕,不要點擊可疑連結或開啟可疑電郵附件。

 

視像好入手

 

資料來源:PCM / HKCERT