Menu dostępności

Jak bezpiecznie prowadzić wideo-rozmowy?

Wraz ze wzrostem popularności wideokonferencji ujawniły się problemy związane z prywatnością i bezpieczeństwem. Bezpieczeństwo wideo-rozmów to nie tylko temat dla agencji rządowych i RODO. Dobre praktyki i zasady bezpieczeństwa aplikacji i usług, z których korzystasz w domu i w pracy są niezwykle ważne i niestosowanie ich może mieć poważne konsekwencje.

Wideokonferencje są dziś powszechne i dostępne praktycznie z każdego urządzenia komputerowego mogącego łączyć się do Internetu. Dlatego, jeśli mówimy o ich bezpieczeństwie mamy przede wszystkim na myśli odpowiednie zabezpieczenie rozmowy i korzystanie z zaufanych aplikacji.


O jakich zagrożeniach mówimy?

Za sprawą ogromnej popularności wideo-rozmów, cyberprzestępcy rozpoczęli serię nowych ataków na tę technologię i korzystających z niej użytkowników. Oto kilka z nich, które zaobserwowaliśmy do tej pory:

  • „Bombardowanie” spotkania – tzw. meeting bombing, to przypadek kiedy link lub identyfikator spotkania zostanie odkryty przez osobę z zewnątrz, która posiada złe zamiary. W takim wypadku osoba trzecia może dołączyć do spotkania w dwóch celach. Albo aby podsłuchiwać, albo aby spowodować zamieszanie i zniszczyć spotkanie. Przestępcy, który uzyskują nieuprawniony dostęp do krytycznych sesji, często generują setki kont maszynowych, które łączą się do takiego spotkania i powodują zwieszenie i zamknięcie sesji dla wszystkich uczestników. To typowe działania destrukcyjne.
  • Złośliwe linki – uczestnik spotkania, który ma złośliwe zamiary, wrzuca na czat konferencji złośliwe linki do pobrania malware. To bardzo częsty zabieg i bardzo skuteczny, gdyż praktycznie żadne narzędzie do wideo-rozmów nie ma posiada filtracji czatu pod względem spamu czy złośliwych plików.
  • Skradzione linki do spotkań – w tym przypadku chodzi o spotkania, które odbywają się cyklicznie pod tym samym linkiem, np. w prywatnym lub publicznym pokoju. Aby uniknąć nieautoryzowanego dostępu do spotkań, należy włączyć opcję braku możliwości dołączenia przed gospodarzem. W niektórych narzędziach ustawienie to jest wyłączone domyślnie.
  • Udostępnianie danych – praktycznie każde narzędzie do rozmów grupowych posiada możliwość udostępniania plików uczestnikom spotkania. Przed taką czynnością należy upewnić się, że połączenie na pewno jest szyfrowane end-to-end. Nie zawsze jest nam obojętne czy nasze poufne informacje zostaną udostępnione firmą trzecim.
  • Ataki Zero-Day – w wielu narzędziach do zdalnych sesji, udostępniających pulpit oraz dających możliwość przekazania kontroli wykrywane są podatności Zero-Day. Oznacza to na przykład, że nieuprawniona osoba będzie w stanie nagrywać nasz pulpit lub nawet przechwytywać znaki wpisywane z klawiatury. Tutaj jedyną opcją jest korzystanie z zaufanych aplikacji i stałe ich aktualizowanie.

Co powinniśmy zrobić?

Każdy kto korzysta z wideo-rozmów (a teraz praktycznie każdy) powinien zadbać o kilka podstawowych zasad, które nie są trudne do stosowania, a uchronią przed większością wyżej wypisanych zagrożeń:

  • Wymagaj hasła – jako gospodarz spotkania jest to działanie nr 1, które możesz podjąć. Ustaw hasło jako obowiązkowe dla wszystkich uczestników oraz dodatkowo zadbaj o nieudostępnianie danych organizatora i identyfikatora spotkania.
  • Weryfikuj uczestników – podczas wysyłania zaproszenia sprawdź dokładnie listę uczestników. Usuń wszystkich, którzy nie powinni brać w nim udziału. W przypadku spotkań poufnych, zwiększ bezpieczeństwo i wymagaj od użytkowników uwierzytelnienia (na przykład poprzez włączenie kamery czy podanie dodatkowego kodu).
  • Sprawdzaj zaproszenia, które otrzymujesz – jest to bardzo ważne, jeśli jesteś w roli uczestnika. Popularnym phishingiem jest podsyłanie do użytkowników fałszywych linków do spotkań i kazanie im o podanie danych uwierzytelniających, na przykład adresów mailowych i haseł.
  • Aktualizowanie oprogramowania – standard, jeśli chodzi o bezpieczeństwo, tyczy się to przede wszystkich właśnie popularnych komunikatorów, ponieważ podatności najczęściej są znajdywane w nich.
  • Zachowaj poufność – przy udostępnianiu pulpitu upewnij się, że nie pokazujesz w tle niczego poufnego. Nie udostępniaj również poufnych informacji innym uczestnikom, jeśli ich nie znasz.
  • Zgłaszaj podejrzane działania – jeśli korzystasz z wideokonferencji w pracy, zawsze zgłaszaj odpowiednim osobom z IT wszelkie podejrzane aktywności, które zauważysz.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...