Internetinė dizaino platforma „Canva“ piktnaudžiavo įsilaužėliais dėl sukčiavimo

Blogi veikėjai, ypač tie, kurie orientuojasi į sukčiavimą ir sukčiavimą el. Paštu, nukreipė dėmesį į debesijos paslaugų ir internetinių įrankių naudojimą savo kampanijose. Po to, kai išaugo sukčiavimo el. Laiškai, naudojant „Microsoft Sway“ pristatymo platformoje priglobtą turinį, blogi aktoriai taip pat piktnaudžiavo Australijos internetinės grafikos dizaino platforma „Canva“, kad surengtų savo aferas.

Kaip internetinės žiniasklaidos dizaino platforma, „Canva“ siūlo daugybę įrankių, kurie padeda įprastiems vartotojams kurti patrauklias prezentacijas ir grafiką, o dabar atrodo, kad įsilaužėliai ir blogi aktoriai nori ir to pyrago gabaliuko. „KnowBe4“ vartotojai pranešė apie daugybę kenkėjiškų el. Laiškų, kuriuose naudojami „Canva“ sukurti ir priglobti failai. Šis procesas vyko visą 2020 m., Pradedant jau vasario mėn.

Didelių prekių ženklų sukčiavimas sukčiavimo aukoms

Schema yra paprasta - blogi veikėjai sukuria įtikinamus vaizdus ir šablonus, kuriuos naudoja savo sukčiavimo el. Laiškuose, ir vilioja vartotojus spustelėti nuorodas, nukreipiančias į išorines kenksmingas svetaines, kuriose iškviečiami jų įgaliojimai. „Microsoft“ vaizdai ir padirbtas „Microsoft“ išlieka tarp dažniausiai suklastoto turinio, naudojamo šiuose sukčiavimo el. Laiškuose , nes prekės ženklo populiarumas yra svarbus socialinės inžinerijos veiksnys ir gali suteikti daug patikimumo netikram pranešimui ar vaizdui.

Šis kenkėjiškos veiklos, naudojant „Canva“ talpinamą medžiagą, padidėjimas įvyko po 2019 m. Įvykusio duomenų pažeidimo. Dar 2019 m. Viduryje įsilaužėliai pažeidė „Canva“ duomenų bazes ir sugebėjo perbraukti daugiau nei 130 milijonų „Canva“ vartotojų prisijungimo informaciją, įskaitant el. Laiškus ir užšifruotus slaptažodžius, o mokėjimo informacija niekaip nebuvo paveikta. Po įvykio „Canva“ nepajudėjo iš karto pakeisti vartotojo slaptažodžių, galbūt pasikliaudama esamiems naudojamu šifravimu. Tačiau po to, kai internete buvo parduota 4 milijonai iššifruotų „Canva“ vartotojų slaptažodžių, įmonė greitai persikėlė pakeisti visų slaptažodžių.

Apsauga nuo sukčiavimo prasideda nuo žmogiškojo faktoriaus

Tai nereiškia, kad „Canva“ nesiėmė veiksmų prieš savo erdvėje talpinamus kenkėjiškus vaizdus. Pranešami kenkėjiški failai yra aktyviai šalinami, tačiau jie kelias dienas išlieka gyvi, suteikdami laiko sukčiavimo kampanijoms, naudojančioms tuos failus, padaryti žalos. Žinoma, „KnowBe4“ bandymai pranešti apie sukčiavimą yra statistiškai nedidelė viso „Canva“ saugomo piktybiniams tikslams naudojamų vaizdų kiekio dalis.

Kaip ir visų išpuolių, kurie labai priklauso nuo socialinės inžinerijos, sukčiavimo prevencija ir apsauga pirmiausia turėtų būti grindžiama darbuotojų mokymu. URL žinojimas užvedus, blogas formatavimas ir gramatika tariamai oficialiuose el. Laiškuose, nepageidaujamuose ir netikėtuose dokumentuose turėtų būti dideli raudoni ženklai, kad kažkas ne taip.