在线设计平台Canva被黑客滥用进行网上诱骗

canva phishing abuse

不良行为者,尤其是那些专注于诈骗和网络钓鱼电子邮件的行为者,已经将他们的注意力转移到利用云服务和在线工具进行竞选活动上。在使用Microsoft Sway演示平台上托管的内容的网络钓鱼电子邮件激增之后,坏演员也滥用了澳大利亚在线图形设计平台Canva来托管其诈骗邮件。

作为一个在线媒体设计平台,Canva提供了许多工具,可以帮助普通用户创建引人入胜的演示文稿和图形,现在,黑客和不良演员似乎也希望从中分得一杯pie。 KnowBe4用户已经举报了许多使用在Canva上设计和托管的文件的恶意电子邮件。这个过程一直持续到2020年,最早从2月开始。

假冒网络钓鱼受害者的大品牌

该方案很简单-恶意行为者创建令人信服的图像和模板以用于网络钓鱼电子邮件中,并诱使用户单击指向导致其凭据被篡改的外部恶意网站的链接。 Microsoft图像和假冒Microsoft仍然是这些网络钓鱼电子邮件中使用最频繁的欺骗内容,因为品牌知名度是社会工程中的一个重要因素,可以使假冒消息或图像具有很高的可信度。

使用Canva上托管的材料进行的恶意活动的增加是在2019年数据泄露之后。早在2019年中,黑客入侵了Canva的数据库,并设法清除了1.3亿Canva用户的登录信息(包括电子邮件和加密密码),而付款信息丝毫不受影响。事件发生后,Canva并没有立即更改用户密码,可能只是依靠现有密码进行加密。但是,在网上出售了400万个解密的Canva用户密码后,该公司迅速采取行动更改了每个人的密码。

防止网络钓鱼始于人为因素

但这并不是说Canva并未针对其空间上托管的恶意映像采取任何措施。报告的恶意文件正在被主动删除,但它们确实可以存活几个小时,从而使使用这些文件的网络钓鱼活动需要一段时间来造成破坏。当然,从统计上看,通过KnowBe4报告的网络钓鱼尝试在Canva中存储的用于恶意目的的所有潜在完整图像总量中,只是一小部分。

与所有严重依赖社会工程的攻击一样网络钓鱼的预防和保护应主要植根于员工培训。悬停URL的意识,格式错误的格式和语法(据称是官方电子邮件),未经请求的文档和意外的文档都应成为明显的红色标志,表明某些地方不正确。

September 8, 2020

发表评论