Online designplatform Canva misbrugt af hackere til phishing

Dårlige skuespillere, især dem der fokuserer på svindel og phishing-e-mails, har flyttet deres fokus på at udnytte skytjenester og onlineværktøjer til deres kampagner. Efter en stigning i phishing-e-mails ved hjælp af indhold, der hostes på Microsofts Sway-præsentationsplatform, har dårlige skuespillere også misbrugt den australske online grafiske designplatform Canva for at være vært for deres svindel.

Som en online mediedesignplatform tilbyder Canva mange værktøjer, der hjælper regelmæssige brugere med at oprette tiltalende præsentationer og grafik, og nu ser det ud til, at hackere og dårlige skuespillere også ønsker et stykke af den tærte. En masse ondsindede e-mails, der bruger filer designet og hostet på Canva, er blevet rapporteret af KnowBe4-brugere. Denne proces har pågået i hele 2020 og starter så tidligt som i februar.

Forfalskning af store mærkenavne til ofre for phish

Ordningen er enkel - dårlige skuespillere skaber overbevisende billeder og skabeloner til brug i deres phishing-e-mails og lokker brugere til at klikke på links, der fører til eksterne ondsindede websteder, hvor deres legitimationsoplysninger udfiskes. Microsofts billeder og falske Microsoft forbliver blandt det hyppigst falske indhold, der bruges i disse phishing-e-mails , da brandets popularitet er en stor faktor inden for social engineering og kan give en stor troværdighed til en falsk besked eller et billede.

Denne stigning i ondsindet aktivitet ved hjælp af materialer, der er hostet på Canva, kommer i kølvandet på et dataintrud i 2019. Tilbage i midten af 2019 overtrådte hackere Canvas databaser og formåede at skubbe loginoplysningerne, inklusive e-mails og krypterede adgangskoder, til over 130 millioner Canva-brugere, med betalingsoplysninger, der ikke påvirkes på nogen måde. Efter hændelsen bevægede Canva sig ikke for øjeblikkeligt at ændre brugeradgangskoder og måske stole på den kryptering, der blev brugt til de eksisterende. Efter at 4 millioner dekrypterede Canva-brugeradgangskoder blev udbudt til salg online, flyttede virksomheden dog hurtigt for at ændre alles adgangskode.

Beskyttelse mod phishing starter med den menneskelige faktor

Det er ikke at sige, at Canva ikke har handlet mod de ondsindede billeder, der er hostet på dets plads. Rapporterede ondsindede filer fjernes aktivt, men de forbliver live i et par timer, hvilket giver phishing-kampagnerne brug af disse filer noget tid til at påføre skade. Naturligvis er phishing-forsøg rapporteret via KnowBe4 statistisk set en lille del af al det potentielle fulde volumen af billeder, der bruges til ondsindede formål, der er gemt på Canva.

Som med alle angreb, der er stærkt afhængige af social engineering, bør phishing-forebyggelse og beskyttelse primært være forankret i personaleuddannelse. Bevidsthed om webadresser på svæver, dårlig formatering og grammatik i angiveligt officielle e-mails, uopfordrede og uventede dokumenter burde alle være store røde tegn på, at noget ikke er rigtigt.