Зумбомбинг: как обезопасить ивент от кибер-хулиганства
Зумбомбинг как явление обозначился всего месяц назад, но уже порядком испортил нервы организаторам мероприятий. Что делать, если в чате кто-то оскорбляет участников онлайн-мероприятия или мешает спикерам? Как настроить мероприятие в Zoom, чтобы оно стало безопасным? И как реагировать на троллинг, спам и агрессивную критику?
Зумбомбингом (англ. zoombombing) называют атаку на онлайн-мероприятия с целью сорвать его или хотя бы смутить участников. Кибер-хулиганы врываются в видеочаты, выкрикивают оскорбления, демонстрируют шокирующие видеокадры и мешают общению в чатах. Хотя термин связан с сервисом Zoom, проблема касается всех организаторов, независимо от платформы, которую они используют.
Чаще всего подобные ситуации происходят на онлайн-уроках. Например, в начале апреля в процессе видеоконференции в одной из саратовских школ неизвестный во время онлайн-урока включил порнографический ролик. Похожие случаи происходили во время онлайн-уроков у школьников в Калуге и в Южно-Сахалинске. Часто происходящее фиксируется и затем появляется в соцсетях, один такой видеоролик собрал более 4,2 млн просмотров и вдохновило целую толпу подражателей.
Анна Голова, Доцент кафедры маркетинга и рекламы ИЭУП РГГУ, заместитель заведующего кафедрой по научно-исследовательской работе:
Все семинары и лекции уже два месяца веду на Zoom и проблем не было. Но недавно во время лекции на площадке появилось несколько человек, зарегистрированных только с именем. Поскольку не всех знала обучающихся на заочном отделении, и к лекции подключаются неодновременно, сразу не среагировала. Сначала был шум, потом появились неприличные картинки вместо аватаров участников. Помогли сориентироваться студенты, быстро удалили диверсантов, и я закрыла конференцию.
Другой мишенью зумбомберов стали конференции представителей религиозных сообществ и разнообразных меньшинств. Случаются подобные инциденты и на крупных онлайн-событиях, например, на вебинаре ассоциации PCMA (Professional Convention management Association): один из участников долго пытался уточнить, каким образом можно отправить свое сообщение так, чтобы его увидело как можно больше людей, а после получения добросовестной инструкции от других участников (и даже организаторов!) заполнил чат расистскими оскорблениями. Специалист по стратегиям цифровых ивентов Кейтилин О’Мэйли призналась, что ей понадобилось всего семь секунд, чтобы заблокировать злоумышленника, но эти мгновения показались ей вечностью.
Спортивный интерес и слабая защита – почему Zoom небезопасен
Зумбомберы используют слабые места безопасности сервисов и даже объединяются в сообщества, делясь между собой идеями атак и ссылками на незащищённые мероприятия и планируя совместные рейды. Журналисты New York Times насчитали сотни групп по теме зумбомбинга в социальных сетях, аналогичные обсуждения на форумах Reddit и 4Chan насчитывают тысячи сообщений. В России зумбомберы осели на форуме Двач.
Незащищённые ссылки на мероприятия (по ним любой желающий может подключиться к ивенту) нетрудно найти в поисковиках по URL-адресам, включающим «Zoom.us». Некоторые злоумышленники даже подбирают ссылки доступа вручную, но и это не обязательно – открытые ссылки с доступом на публичные «встречи» то и дело можно увидеть в социальных сетях на страницах учреждений и организаций.
Основатель и генеральный директор Zoom Эрик Юань в своем блоге извинился за то, что компания не предусмотрела возможность подобных атак. «Мы не рассчитывали, что абсолютно каждый человек в мире вдруг начнет работать, учиться и общаться дома», - написал он в своём блоге и анонсировал ряд нововведений для защиты безопасности онлайн-мероприятий. Event LIVE собрал все рекомендации ZOOM для настройки безопасного от кибер-налётов Zoom-ивента:
Как уберечь свой ZOOM-ивент от злоумышленников?
- Создавайте уникальный идентификатор
Создавая ID для своих мероприятий в Zoom, не используйте свой личный идентификатор (PMI, Personal meeting ID). Отключите эту функцию и каждый раз генерируйте уникальный ID для нового мероприятия. На странице поддержки Zoom есть пошаговое руководство в формате видео.
- Сделайте ваше мероприятие приватным, назначьте ко-модератора
Как только все ожидаемые участники подключатся к мероприятию, закройте доступ к нему для посторонних пользователей и назначьте по крайней мере двух модераторов (Hosts). Если один из модераторов потеряет контроль над ситуацией, второй сможет ему помочь. Чтобы сменить модераторов, перейдите в раздел Settings к панели Meeting, прокрутите до пункта Co-host и активируйте функцию. Подтвердите своё решение, если того потребует сервис (Turn on).
- Установите пароль для встречи
Пароль для мероприятия, который автоматически генерируется Zoom, не позволит незваным пользователям присоединиться к вашему мероприятию, даже если у них есть ссылка на собрание.
- Используйте новую функцию – «Зал ожидания»
«Зал ожидания» – это виртуальная буферная зона, куда попадают все подключающиеся по открытой ссылке участники. Организаторы могут позволить ему присоединиться к мероприятию или отказать в доступе. Иногда Zoombombers используют знакомые имена, поэтому будьте осторожны, чтобы подтвердить личность человека, попросив его включить камеру. Видеоинструкцию о том, как работает функция, можно увидеть на YouTube.
- Сделайте все возможные функции неактивными для участников мероприятий
Помните, что злоумышленники могут использовать каждую функцию Zoom для своих целей. Так они могут присоединиться к модератору (Join Before Host), сделать видимым свой экран для других участников, устанавливать виртуальный фон и передавать различные файлы и даже сохранять переписку из чатов. Все эти функции можно сделать недоступными для участников кроме модераторов в разделе Settings, а запретить участникам делиться изображениями со своего экрана можно, перейдя по очереди в разделы Host controls > Share Screen > Advanced Sharing Options > Who can share? и выбрать Only hosts).
- Не делитесь ссылкой или ID мероприятия Zoom в социальных сетях
Не выкладывайте ссылку на мероприятие на страницах своей организации в социальных сетях: злоумышленники могут найти их случайно или с помощью специальных скриптов. Вместо этого, анонсируя своё мероприятие, публикуйте адрес электронной почты, куда потенциальные участники могут обратиться за прямой ссылкой.
«Купи гараж» и «спикер – фуфло»: как зумбомбят в России
Следует заметить, что в России организаторы деловых мероприятий реже доверяют свои события сервису Zoom и чаще стараются провести ивент на специализированных платформах, либо создают свои собственные.
Руслан Демьяненко, CEO Eventicious:
Мы слышали истории о нападении хулиганов от организаторов мероприятий. На мероприятиях, где за трансляцию отвечали мы, таких случаев не было. Мы используем решение на базе ZOOM Webinar. От обычного ZOOM для конференций это решение отличается тем, что организатор определяет, кто будет спикером, а кто зрителем без права голоса. Просто так подключиться и выйти в эфир у пранкера не получится. Также наша платформа не предоставляет прямой доступ к Zoom-звонку, где общаются спикеры. В нашем мобильном приложении и в веб-версии по умолчанию вы смотрите «ретрансляцию» в режиме слушателя. Более того, для доступа к этой ретрансляции необходимо авторизация на платформе. Большинство организаторов делают просмотр доступным только для тех, кто есть в списке участников с подтверждением по SMS или email. Это ещё больше усложняет троллям доступ к мероприятию. Кстати, Zoom уже выпустил обновление улучшающую ситуацию с безопасностью, кроме того даже в старой версии были опции, позволяющие существенно снизить вероятность таких неприятностей, просто многие либо не знали про эти опции, либо ленились их включать. Что сделать организаторам, если в онлайн пришёл тролль? А что делают, когда кто-то дебоширит на офлайн мероприятии? Вызывают службу охраны и выпроваживают вон, так же и в онлайн-формате. Для этого в команде должен быть грамотный технический саппорт, чтобы оперативно перекрыть троллю доступ к конференции.
Куда чаще российские организаторы сталкиваются не с целенаправленной агрессией в сторону каких-то участников или спикеров, а со спамом – прямой рекламой своих услуг зрителями мероприятия. Для такого «беззубого» зумбомбинга участникам не нужно менять виртуальный фон или обмениваться гифками – заспамить чат можно и обычным текстом. Чтобы избежать хаоса в чате, будет правильным заранее составить регламент с рекомендациями для участников, в котором в числе прочих будет запрет на спам и попросить техподдержку платформы оперативно удалять подобные сообщения.
Порой и на офлайн мероприятиях встречаются чересчур активные участники, которые пытаются спорить со спикерами и выкрикивают что-то во время выступления из зала. В онлайн-формате это проявляется ярче из-за обезличенного подхода к общению и состояния стресса, близкого сегодня многим. Участники не всегда осознают, что их критика в формате вроде «Доклад – полная шляпа, спикер – фуфло» может кого-то обидеть. В подобной ситуации спикеры часто никак не реагируют на негатив, а ведь и такую обратную связь можно использовать на пользу своему авторитету.
Если комментарии представляют собой не троллинг, а агрессивную критику, спикер может попросить организаторов подключить автора сообщения к прямой трансляции. Спросив у хейтера, кто он, чем занимается, чем конкретно недоволен, метко ответив на комментарий, либо отшутившись, спикер или модератор может укрепить свой авторитет и заслужить больше одобрения со стороны участников. Неважно, какую роль вы исполняете на онлайн-мероприятии, если вам всё-таки пришлось столкнуться с зумбомбингом или хейтом, помните, что участникам и самим неловко видеть неадекватное поведение других пользователей, а значит, они обязательно встанут на вашу сторону и постараются вам помочь.
Кстати, мы проанализировали другие ключевые проблемы онлайн-мероприятий и постарались найти для них решения.
Материал подготовлен эксклюзивно для Event LIVE. При перепечатке или цитировании активная, открытая для индексации гиперссылка на страницу с публикацией обязательна. Фото: Pixabay.comCC0 PublicDomain. Бесплатно для личного и коммерческого использования. Не требуется атрибуции. Указанная точка зрения может не совпадать с точкой зрения редакции, а равно и с мнением третьих лиц, включая иных специалистов. Редакция не несет ответственности за недостоверность предоставленных авторами данных и любые возможные убытки, понесенные лицами в результате применения публикуемых заключений и следования таким рекомендациям.
20.05.2020