Check Point發(fā)現(xiàn)�,與縮放功能有關(guān)的��,允許自定義會議URL的問題可能已經(jīng)被利用來進(jìn)行網(wǎng)絡(luò)釣魚攻擊�。
Zoom是一種視頻會議服務(wù),在COVID-19大流行中被廣泛用作全球眾多組織和最終用戶的協(xié)作工具之后���,受到了嚴(yán)格的審查���。
Check Point說,最近發(fā)現(xiàn)的安全問題與Zoom Vanity URL有關(guān)���,Zoom Vanity URL 是組織在尋求啟用單點(diǎn)登錄(SSO)時必須使用的自定義URL(例如companyname.zoom.us)����。
用戶很少訪問可定制的個性化頁面,因?yàn)樗麄兺ǔ2恍枰斎腠撁娴腢RL即可訪問視頻會議����,而只需單擊提供的鏈接即可��。
根據(jù)Check Point的說法�����,想要利用發(fā)現(xiàn)的問題的攻擊者會假裝自己是公司內(nèi)的合法雇員�����,然后將看似來自公司Vanity URL的邀請發(fā)送給感興趣的個人����。
但是,盡管邀請似乎是從欺騙組織的合法Vanity URL發(fā)送的�����,但該URL實(shí)際上將指向攻擊者注冊的名稱與目標(biāo)之一相似的子域���。
通過操縱鏈接����,攻擊者可以誘使用戶認(rèn)為自己實(shí)際上正在與目標(biāo)公司的某人開會,從而誘使用戶參加他們自己的會議并誘使他們交出憑據(jù)或其他敏感信息��。
攻擊者還可以針對某些組織用于視頻會議的專用Zoom Web界面����,將用戶重定向到惡意的Vanity URL,以利用該漏洞��。
Check Point 指出: “如果不進(jìn)行有關(guān)如何識別適當(dāng)URL的特殊網(wǎng)絡(luò)安全培訓(xùn)����,則收到此邀請的用戶可能無法識別該邀請不是真實(shí)的,還是來自實(shí)際組織或真實(shí)組織的���,” Check Point 指出�����。
據(jù)安全公司報道�����,Zoom增加了保障措施以確保對其用戶的保護(hù)�����。
“由于Zoom已成為企業(yè)����,政府和消費(fèi)者的全球領(lǐng)先溝通渠道之一���,因此至關(guān)重要的是�,必須防止威脅行為者為犯罪目的利用Zoom���。Check Point Research集團(tuán)經(jīng)理Adi Ikan表示:“我們與Zoom的安全團(tuán)隊合作��,幫助Zoom為全球用戶提供了更安全�����,更簡單和可信賴的通信體驗(yàn)�����,使他們能夠充分利用該服務(wù)的優(yōu)勢���。”
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
