在线设计平台Canva被黑客滥用进行网上诱骗

不良行为者，尤其是那些专注于诈骗和网络钓鱼电子邮件的行为者，已经将他们的注意力转移到利用云服务和在线工具进行竞选活动上。在使用Microsoft Sway演示平台上托管的内容的网络钓鱼电子邮件激增之后，坏演员也滥用了澳大利亚在线图形设计平台Canva来托管其诈骗邮件。

作为一个在线媒体设计平台，Canva提供了许多工具，可以帮助普通用户创建引人入胜的演示文稿和图形，现在，黑客和不良演员似乎也希望从中分得一杯pie。 KnowBe4用户已经举报了许多使用在Canva上设计和托管的文件的恶意电子邮件。这个过程一直持续到2020年，最早从2月开始。

假冒网络钓鱼受害者的大品牌

该方案很简单-恶意行为者创建令人信服的图像和模板以用于网络钓鱼电子邮件中，并诱使用户单击指向导致其凭据被篡改的外部恶意网站的链接。 Microsoft图像和假冒Microsoft仍然是这些网络钓鱼电子邮件中使用最频繁的欺骗内容，因为品牌知名度是社会工程中的一个重要因素，可以使假冒消息或图像具有很高的可信度。

使用Canva上托管的材料进行的恶意活动的增加是在2019年数据泄露之后。早在2019年中，黑客入侵了Canva的数据库，并设法清除了1.3亿Canva用户的登录信息（包括电子邮件和加密密码），而付款信息丝毫不受影响。事件发生后，Canva并没有立即更改用户密码，可能只是依靠现有密码进行加密。但是，在网上出售了400万个解密的Canva用户密码后，该公司迅速采取行动更改了每个人的密码。

防止网络钓鱼始于人为因素

但这并不是说Canva并未针对其空间上托管的恶意映像采取任何措施。报告的恶意文件正在被主动删除，但它们确实可以存活几个小时，从而使使用这些文件的网络钓鱼活动需要一段时间来造成破坏。当然，从统计上看，通过KnowBe4报告的网络钓鱼尝试在Canva中存储的用于恶意目的的所有潜在完整图像总量中，只是一小部分。

与所有严重依赖社会工程的攻击一样 ， 网络钓鱼的预防和保护应主要植根于员工培训。悬停URL的意识，格式错误的格式和语法（据称是官方电子邮件），未经请求的文档和意外的文档都应成为明显的红色标志，表明某些地方不正确。