立場新聞 Stand News

10 招保障 Zoom 網上會議安全

2020/4/3 — 17:37

資料圖片,來源:Allie Smith @ Unsplash

資料圖片,來源:Allie Smith @ Unsplash

【文:香港電腦保安事故協調中心(HKCERT)】

因應 2019 冠狀病毒病(COVID-19)疫情,很多公司和教育機構都會安排員工和教師在家中工作或授課,因而使更多人使用網上會議軟件作為溝通工具。其中 Zoom 因為操作容易及豐富功能,所以成為熱門的網上會議軟件之一。

近日,HKCERT 留意到有一種針對 Zoom 用戶的新興網絡攻擊。這種名為「Zoom-bombing」或「Video-teleconferencing hijacking」[1] 的攻擊會嘗試登入至未有安全設定的會議,或利用軟件早前的漏洞來搜尋可用的會議 ID,再非法進入會議。一旦成功,黑客可竊聽會議,甚至騎劫會議,散播不當訊息/圖片或惡意軟件。

廣告

另外,黑客還會利用操作糸統的功能來攻擊用戶。其中一個例子是利用 Windows 系統中常用的 UNC 連結(例子 \\evil.server.com\images\cat.jpg)。用戶於 Windows 中點擊任何 UNC 連結,系統會自動將用戶的登錄名和 NTLM 密碼雜湊(hashed password)發送到遠程伺服器。 因此,黑客可在 Zoom 會議期間向與所有與會者,發送惡意的 UNC連 結來收集個人資料作其他攻擊。

10 招保障 Zoom 會議安全

廣告

HKCERT 建議用戶可採取以下保安措施,確保會議安全進行:

甲、所有 Zoom 用戶

  1. 使用最新版本的 Zoom 軟件和保安軟件
    • 只在其官方網站或官方應用程式商店下載軟件
    • 經常保持軟件至最新版本 [2]
    • 經常更新操作糸統(包括桌面電腦及流動裝置)及保安軟件
  2. 提防任何不明的 UNC 連結
    • 不要點擊任何可疑的 UNC 連結
    • (適用於專業 Windows 用戶)設置 group policy 以停止傳送 NTLM 密碼 [3]
  3. 切勿在會議期間分享機密資訊
    • Zoom 並未支援完全的端到端加密(端到端加密是指除指定人士外,連服務供應商 Zoom 亦無法查看會議的內容)
    • 避免討論任何機密資料以防止外洩
  4. 使用有意義的顯示名稱
    • 避免使用誤導性名稱或網上暱稱,讓主持人更容易識別與會者
  5. 小心保護你的 Zoom 帳戶及留心可疑的帳戶活動
    • 帳戶應設立一個高強度的帳戶密碼
    • 若發現可疑情況,請登出所有 Zoom 用戶端(如遺失電腦或手機,應立即登出所有用戶端,並更改登入密碼)
    • 切勿隨意分享或公開主辦方傳送的會議 ID 和網址

乙、主持會議的單位

  1. 保護會議私密性及防止非法入侵者
    • 只向與會者分享會議 ID 和網址。切勿將其分享到社交媒體或公開的網絡平台
    • 每次會議都設立不同的會議 ID 和密碼 [備註]
    • 設立高強度的會議密碼,並分開發送會議網址給與會者
    • 使用預先登記功能來控制與會者名單
    • 禁用「在主持人之前加入會議」(join before host)選項,確保主持人在與會者加入會議前已經在場,讓主持人預先識別與會者
    • 善用等候室功能來控制誰可登入會議
    • 當所有與會者都加入會議後立即鎖上會議
    • 設定分享螢幕至 「只限主持人」(only host),並只在有需要時才開放此功能給與會者
  2. 監察會議
    • 使用另一部裝置以與會者身份登入
    • 監察與會者分享的任何不當內容,移除不合適的資訊和身份不明人士
  3. 小心處理會議錄像以確保安全及保護與會者私隱
    • 如果要進行錄影,應預先通知所有與會者
    • 如果錄像內含有敏感資料,應將該錄像保存於個人電腦中,而非雲端內,並設置適當的存取權限,僅共享給可信任人士
  4. 保密你的帳號個人會議(Personal Meeting) ID
    • 此 ID 可連結至你的 Zoom 帳戶,所以只應作個人使用
    • 切勿分享此 ID 或用於一般會議中
  5. 為網絡會議制定有關的保安政策
    • 公司應制定相關的保安政策,供員工於主持和參加網上會議時遵循
    • 相關政策應涵蓋使用守則及安全控制

措施亦適用於其他同類軟件嗎?

這 10 項措施可應用於保障其他同類軟件。市面上還有很多不同的網上會議解決方案,例如 Cisco WebEx、Adobe Connect、Microsoft Teams、Google Hangouts Meet、CyberLink U Meeting 等。上述針對 Zoom 的安全措施及相類似的設定,亦可在其他方案中找到。但不論選擇哪種方案,亦應在使用前先了解其安全功能及弱點,以便更有效地保障網絡會議安全。

對 Zoom 的網絡攻擊保持警惕

黑客還會繼續利用 Zoom 的普及性來發動不同網絡攻擊。據報導,自疫情爆發期間,有大量偽冒 Zoom 的域名被註冊了。這些域名會用來散播釣魚詐騙和偽裝成 Zoom 的惡意軟件來引誘用戶安裝 [4]。用戶應保持警惕,不要點擊可疑的連結或開啟可疑的電郵附件。

備註

最新版本的 Zoom 會預先啟用會議密碼設定,並新增了防止用隨機掃描會議 ID 的方法來加入會議的措施。

 

參考資料

  1. https://www.bleepingcomputer.com/news/security/fbi-warns-of-ongoing-zoom-bombing-attacks-on-video-meetings/
  2. https://support.zoom.us/hc/zh-tw/articles/201362233-Where-Do-I-Download-The-Latest-Version-
  3. https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-via-unc-links/
  4. https://thehackernews.com/2020/03/zoom-video-coronavirus.html

香港電腦保安事故協調中心(HKCERT)簡介:由香港生產力促進局管理的香港電腦保安事故協調中心,是本港的資訊保安事故協調中心,為本地企業及互聯網用戶提供資訊保安事故的消息和防禦指引、事故回應及支援服務,及提高保安意識。

原刊於 HKCERT 網站 

發表意見