会议常见问题应急处置手册（专栏会议再出安全问题）

会议常见问题应急处置手册（专栏会议再出安全问题）小白：哇，这次是啥问题？大东：4月8日，世界头号网络会议供应商Cisco旗下的在线会议软件“WebEx”被Cofense网络钓鱼防御中心曝出相关钓鱼活动。小白：哈哈，还挺有意思，大东东怎么突然关心起这个，是在线课堂又出了什么问题吗？大东：不是在线课堂出问题，是视频会议又爆安全问题了。小白：前排吃瓜！

一、视频会议安全问题频出

大东：小白，还没开学呢？

小白：是呀，疫情不结束，学校不开学。

大东：在线授课还习惯吗？

小白：哈哈，还挺有意思，大东东怎么突然关心起这个，是在线课堂又出了什么问题吗？

大东：不是在线课堂出问题，是视频会议又爆安全问题了。

小白：前排吃瓜！

大东：4月8日，世界头号网络会议供应商Cisco旗下的在线会议软件“WebEx”被Cofense网络钓鱼防御中心曝出相关钓鱼活动。

小白：哇，这次是啥问题？

大东：根据Cofense网络钓鱼防御中心发现的钓鱼活动，有攻击者蹭上了远程办公热点，伪造WebEx安全警告的钓鱼邮件，且钓鱼邮件未被思科邮件防火墙捕获，借此诱导用户通过钓鱼链接进行“更新”，试图窃取WebEx凭据，以访问网络电话会议并盗取参与者共享的敏感文件和数据。

小白：听起来很高级的样子！求大东东详解！

Cisco webex（图片来自网络）

二、大话始末

小白：今时不同往日，在这个钓鱼邮件满天飞的特殊时期，是何等“高明”的钓鱼邮件能一边躲过各大安全厂商的围追截堵，一边骗过受过多次教育的用户呀？！

大东：那就是——真实。

小白：啥玩意儿？

大东：这是钓鱼攻击成功的唯一核心要素，整个钓鱼过程太逼真了。

小白：哦？

大东：即使是看惯了高仿货的人，也难免会因为看走眼，栽在精仿货的身上。

小白：那我更好奇了～

大东：本次钓鱼活动的攻击者设下的四个陷阱，让用户怎么也逃不过重重套路。

小白：他来了他来了～

大东：在整个攻击之初，攻击者发送了一封主题为“安全警报”的电子邮件，内含欺骗性的地址“meetings [@] webex [。] com”（为防止读者误点击，地址进行了处理），引起了用户的关注。

钓鱼邮件（图片来自网络）

小白：这一点好像还没什么特别之处。

大东：接下来就是攻击者的第一个陷阱——逼真的高危漏洞警告。电子邮件内容说明用户存在一个必须修补的高风险漏洞，该漏洞必须允许未经身份验证的用户安装“在系统上具有高特权的Docker容器”。攻击者用真实内容解释完该漏洞问题后，甚至链接了该漏洞的合法文章，邮件内容中的漏洞编号“CVE-2016-9223”文本，直接链接了该文章URL：hxxps：// cve [。] mitre [。] org / cgi-bin / cvename.cgi？name = CVE-2016-9223。

小白：天呐，竟然还有CVE编号？我已经信了！

大东：没错，就算是大多数具有安全意识的用户，都会按照电子邮件中的说明进行操作，选择立即“更新”。接下来就是陷阱二——以假乱真的URL链接。

小白：还有陷阱！

大东：没错，即使还有更谨慎的用户心存疑虑也无济于事，攻击者还精心设计了邮件“加入（安装/更新）”按钮嵌入的URL：hxxps：//globalpagee-prod-webex [。] com / signin，而合法的Cisco WebEx URL则为：hxxps：//globalpage-prod [。] webex [。]com / signin。

小白：这俩有什么区别么？

大东：乍一看，这两个URL看起来非常相似，但是仔细观察，发现攻击者在“globalpage”中添加了一个额外的“ e”。同样，恶意链接不是“prod.webex”，而是“prod-webex”。

小白：我已经眼花了。

大东：别虚，还有陷阱三——为欺诈域名申请SSL证书，狡猾的攻击者在进行攻击前就已经通过Public Domain Registry注册了一个欺诈域名，甚至为自己的欺诈域名申请SSL证书，从而获得最终用户的进一步信任。

小白：专业的啊！

大东：官方的Cisco证书是通过HydrantID验证的，而攻击者的证书是通过Sectigo Limited验证的。无论谁验证了攻击者的证书，结果都是相同的：一个锁出现在URL的左侧。用户重定向到的网络钓鱼页面与合法的Cisco WebEx登录页面相同，在视觉上没有区别。

钓鱼页面（图片来自网络）

小白：我们用户太难了。

大东：还有更难的陷阱四——将用户定向到官网以证明合法性。

小白：什么？？竟然还敢定向到官网！

大东：即使在用户提供WebEx凭据后，攻击者也没有掉以轻心，继续将用户导流到Cisco官方网站以下载WebEx。这足以说服大多数用户相信，这次更新WebEx应用程序是合法的。

小白：太厉害了！我早已跪在第一轮了……

大东：高真实度的陷阱与钓鱼过程环环相扣，成功的钓鱼攻击背后，没有一个步骤是无辜的。

三、如何防范

大东：Zoom、WebEx这些远程办公软件相继爆雷，早在远程办公这股风暴席卷全球时，网络攻击者就已经站在了风里。

小白：话说回来，Zoom、WebEx问题的根源还是近期疫情突发引起的远程办公啊！

大东：迅速崛起的远程办公需求，为网络攻击者提供了一个新的攻击思路。仅春节期间，在我国7亿 工作人口中，就有超过3亿远程办公人员，这个比例放之全球也是只多不少。甚至，我们预测，2024-2025年全球将有1.23亿人步入远程办公。

小白：巨大的用户量吸引了攻击者的注意力。

大东：很显然，已经为人鱼肉的各大远程办公软件并没有意识到这一点，以Zoom、WebEx为首的多数软件没有做好准备，以至于成为攻击者最先锁定的攻击对象。

小白：大东东，这么高级的钓鱼邮件，我们该如何防范呀？

大东：作为用户，要避免点击邮件中的链接，如果觉得不对劲，仔细查看发送邮箱。对于外贸网站或者邮箱服务器的邮件，到该外贸网站或者邮箱后台去检查一下。对于要求提供隐私的网站，更要请谨慎对待。最后就是要定期修改密码，定期进行木马查杀。

小白：道理我都懂，但是，唉……

大东：一旦你发现你被钓鱼之后，尽快修改密码，可以去邮箱后台查看有没有被设置，比如设置邮件密送给某些邮件。对于重要信息，比如公司账号修改等，最好立刻打电话向IT部门求助。

小白：记住啦～

参考文献：

1. 继Zoom爆雷后：世界头号网络会议软件WebEx，成为攻击者的“真香”目标：https://mp.weixin.qq.com/s/6O3lkhSOm8V9A38OKA8jyw

2.如何防范钓鱼邮件：https://jingyan.baidu.com/article/22a299b5d20f9c9e19376a22.html

来源：中国科学院计算技术研究所