由于COVID-19大流行迫使学校、大学和企业限制面对面会议，全世界迅速采用了Zoom和谷歌Meet等服务提供的视频会议。于是，这个词被“zoombomb”所取代，“zoombomb”指的是网络喷子加入在线会议，目的是扰乱和骚扰参与者。会议服务机构采取了多种应对措施，但一篇新的研究论文发现，大多数都是无效的。

最常用的对策包括设置密码保护会议，使用等候室，以便会议组织者在允许人们参加会议之前对他们进行审查，以及建议与会者不要在公共论坛上发布会议链接。

这些方法的问题在于，它们假设了错误的威胁模型。例如，一种常见的假设是，沐鸣开户测速骚扰是由不了解会议细节的外部人士组织的。波士顿大学(Boston University)和纽约州立大学宾厄姆顿分校(State University of New York at Binghamton)的研究人员研究了去年头七个月社交媒体上发布的狂轰轰的电话，发现大多数情况下并非如此。

在一篇名为《第一看zoom ombomb》的论文中，研究人员写道:

我们的研究结果表明，绝大多数呼吁“狂轰滥炸”的人并不是偶然遇到会议邀请或强行使用会议ID的攻击者，而是拥有合法访问这些会议的内部人士，特别是高中和大学课堂上的学生。这具有重要的安全含义，因为它使防范“狂轰滥炸”的常见保护(如密码保护)失效。我们还发现，内部人士指示攻击者使用课堂上合法参与者的姓名，以避免被发现，这使得设置等候室和审查参与者等对策效果较差。基于这些观察，我们认为对抗“狂轰滥炸”的唯一有效防御方法是为每个参与者创建唯一的连接链接。

研究人员通过分析推特和4chan上的帖子得出了他们的发现。

一个棘手的问题

zoom bomb一直是学校、大学和其他已经采用视频会议的组织所关注的问题。例如，在8月份的一场法庭听证会上，一名佛罗里达少年被指控入侵推特，zoombomber中断了庭审，并抛出种族污蔑和展示色情视频。一名不请自来的参与者把自己暴露在课堂上，导致佛罗里达州奥兰治县公立学校系统的学生参加的Zoom会议中断。

进一步的阅读

安全提示每个老师和教授都需要知道极速的事，马上

此类事件引发的愤怒促使在线会议服务机构采取措施应对这种骚扰。包括Ars在内的许多出版物也提供了帖子，解释会议组织者如何防止“连环炸弹”。

对策通常包括:

确保会议有密码保护

如果可能的话，不要在社交媒体或其他公共渠道上宣布开会

使用等候室选项允许参与者进入

这些措施的问题是，如果是由有权参加会议的内部人士组织的，这些措施就不能很好地发挥作用，或者根本就不能发挥作用。任何被授权加入会议的人显然都有一个会议密码，然后可以与其他人共享。

研究人员写道，要求参与者在参加会议之前在等候室接受审查，只会稍微有效一些，因为“内部人士经常会与潜在攻击者分享额外的信息，例如指示他们选择与会议合法参与者对应的姓名。”“这降低了等候室的效率，因为它使主机和管理员更难识别入侵者。”

更重要的是，在承认之前先对人进行审查，沐鸣开户测速通常不适合与大量用户会面，这对许多人来说是不可行的选择。

另一个折衷办法是为每个参与者提供一个独特的链接。如果会议服务仍然允许不止一个人以相同的链接加入，它不会停止狂轰乱炸，但它确实有助于组织者更容易地识别向外部提供链接的内部人士。

研究人员写道:

一个更好的缓解方法是允许每个参与者使用个性化的会议链接加入。这样，只要内部人加入会议，未经授权的人就不能使用同一个链接加入会议。虽然这种缓解措施使“变焦轰炸”不可行，但并非所有会议服务都采用了这种方式。在我写这篇文章的时候，只有Zoom和Webex允许每个参与者链接，每次只允许一个用户加入。为此，Zoom要求参与者登录，并检查作为日历邀请发送到该电子邮件地址的唯一链接是否相同。我们鼓励其他会议平台采取类似的访问控制措施，以保护其会议免受内部威胁。

Zoom官员在一份声明中写道:

听到这类事件，我们深感不安，极速强烈谴责这种行为。当会议注册开启时，Zoom提供了独特的链接功能。我们最近还更新了一些默认设置，并增加了一些功能，以帮助主机更容易地访问会议中的安全控制，包括控制屏幕共享，删除和报告与会者，锁定会议，以及其他操作。我们还对用户进行了关于设置会议的安全最佳实践的教育，包括要求注册、只允许访问经过身份验证的用户，以及防止参与者重命名自己。我们鼓励任何举办大型或公共活动的人利用Zoom的网络研讨会解决方案。我们非常重视会议中断，我们鼓励用户向Zoom和执法部门报告任何此类事件，以便对违法者采取适当的行动。

研究人员表示，他们的工作是首次对社交媒体上要求进行连环炸弹袭击的呼声进行数据驱动分析。鉴于对视频会议的持续和日益增长的依赖，它不太可能是最后一个。