在線設計平台Canva被黑客濫用進行網上誘騙
不良行為者,尤其是那些專注於詐騙和網絡釣魚郵件的行為者,已經將他們的注意力轉移到利用雲服務和在線工具進行競選中。在使用Microsoft Sway演示平台上託管的內容的網絡釣魚電子郵件激增之後,壞演員也濫用了澳大利亞在線圖形設計平台Canva來託管其詐騙郵件。
作為一個在線媒體設計平台,Canva提供了許多工具,可以幫助普通用戶創建吸引人的演示文稿和圖形,現在,黑客和不良行為者似乎也希望從中分得一杯a。 KnowBe4用戶已經舉報了許多使用在Canva上設計和託管的文件的惡意電子郵件。這個過程一直持續到2020年,最早從2月開始。
假冒網絡釣魚受害者的大品牌
該方案很簡單-惡意行為者創建令人信服的圖像和模板以用於網絡釣魚電子郵件中,並誘使用戶單擊指嚮導致其憑據被篡改的外部惡意網站的鏈接。 Microsoft圖像和偽造Microsoft仍然是這些網絡釣魚電子郵件中使用最頻繁的欺騙內容,因為品牌知名度是社會工程中的重要因素,並且可以為偽造消息或圖像提供大量信譽。
使用Canva上託管的材料進行的惡意活動的增加是在2019年數據洩露之後。早在2019年中,黑客入侵了Canva的數據庫,並設法清除了1.3億Canva用戶的登錄信息(包括電子郵件和加密密碼),而付款信息絲毫不受影響。事件發生後,Canva並沒有立即更改用戶密碼,可能只是依靠現有密碼進行加密。但是,在網上出售了400萬個解密的Canva用戶密碼後,該公司迅速採取行動更改了每個人的密碼。
防止網絡釣魚始於人為因素
但這並不是說Canva並未針對其空間上託管的惡意映像採取任何措施。報告的惡意文件正在被主動刪除,但它們確實可以存活幾個小時,從而使使用這些文件的網絡釣魚活動需要一段時間來造成破壞。當然,從統計上看,通過KnowBe4報告的網絡釣魚嘗試在Canva中存儲的用於惡意目的的所有潛在完整圖像總量中,只是一小部分。
與所有嚴重依賴社會工程的攻擊一樣 , 網絡釣魚的預防和保護應主要植根於員工培訓。懸停URL的意識,格式錯誤的格式和語法(據稱是官方電子郵件),未經請求的文檔和意外的文檔都應成為明顯的紅色標誌,表明某些地方不正確。