在線設計平台Canva被黑客濫用進行網上誘騙

canva phishing abuse

不良行為者,尤其是那些專注於詐騙和網絡釣魚郵件的行為者,已經將他們的注意力轉移到利用雲服務和在線工具進行競選中。在使用Microsoft Sway演示平台上託管的內容的網絡釣魚電子郵件激增之後,壞演員也濫用了澳大利亞在線圖形設計平台Canva來託管其詐騙郵件。

作為一個在線媒體設計平台,Canva提供了許多工具,可以幫助普通用戶創建吸引人的演示文稿和圖形,現在,黑客和不良行為者似乎也希望從中分得一杯a。 KnowBe4用戶已經舉報了許多使用在Canva上設計和託管的文件的惡意電子郵件。這個過程一直持續到2020年,最早從2月開始。

假冒網絡釣魚受害者的大品牌

該方案很簡單-惡意行為者創建令人信服的圖像和模板以用於網絡釣魚電子郵件中,並誘使用戶單擊指嚮導致其憑據被篡改的外部惡意網站的鏈接。 Microsoft圖像和偽造Microsoft仍然是這些網絡釣魚電子郵件中使用最頻繁的欺騙內容,因為品牌知名度是社會工程中的重要因素,並且可以為偽造消息或圖像提供大量信譽。

使用Canva上託管的材料進行的惡意活動的增加是在2019年數據洩露之後。早在2019年中,黑客入侵了Canva的數據庫,並設法清除了1.3億Canva用戶的登錄信息(包括電子郵件和加密密碼),而付款信息絲毫不受影響。事件發生後,Canva並沒有立即更改用戶密碼,可能只是依靠現有密碼進行加密。但是,在網上出售了400萬個解密的Canva用戶密碼後,該公司迅速採取行動更改了每個人的密碼。

防止網絡釣魚始於人為因素

但這並不是說Canva並未針對其空間上託管的惡意映像採取任何措施。報告的惡意文件正在被主動刪除,但它們確實可以存活幾個小時,從而使使用這些文件的網絡釣魚活動需要一段時間來造成破壞。當然,從統計上看,通過KnowBe4報告的網絡釣魚嘗試在Canva中存儲的用於惡意目的的所有潛在完整圖像總量中,只是一小部分。

與所有嚴重依賴社會工程的攻擊一樣網絡釣魚的預防和保護應主要植根於員工培訓。懸停URL的意識,格式錯誤的格式和語法(據稱是官方電子郵件),未經請求的文檔和意外的文檔都應成為明顯的紅色標誌,表明某些地方不正確。

September 8, 2020

發表評論