在線設計平台Canva被黑客濫用進行網上誘騙

不良行為者，尤其是那些專注於詐騙和網絡釣魚郵件的行為者，已經將他們的注意力轉移到利用雲服務和在線工具進行競選中。在使用Microsoft Sway演示平台上託管的內容的網絡釣魚電子郵件激增之後，壞演員也濫用了澳大利亞在線圖形設計平台Canva來託管其詐騙郵件。

作為一個在線媒體設計平台，Canva提供了許多工具，可以幫助普通用戶創建吸引人的演示文稿和圖形，現在，黑客和不良行為者似乎也希望從中分得一杯a。 KnowBe4用戶已經舉報了許多使用在Canva上設計和託管的文件的惡意電子郵件。這個過程一直持續到2020年，最早從2月開始。

假冒網絡釣魚受害者的大品牌

該方案很簡單-惡意行為者創建令人信服的圖像和模板以用於網絡釣魚電子郵件中，並誘使用戶單擊指嚮導致其憑據被篡改的外部惡意網站的鏈接。 Microsoft圖像和偽造Microsoft仍然是這些網絡釣魚電子郵件中使用最頻繁的欺騙內容，因為品牌知名度是社會工程中的重要因素，並且可以為偽造消息或圖像提供大量信譽。

使用Canva上託管的材料進行的惡意活動的增加是在2019年數據洩露之後。早在2019年中，黑客入侵了Canva的數據庫，並設法清除了1.3億Canva用戶的登錄信息（包括電子郵件和加密密碼），而付款信息絲毫不受影響。事件發生後，Canva並沒有立即更改用戶密碼，可能只是依靠現有密碼進行加密。但是，在網上出售了400萬個解密的Canva用戶密碼後，該公司迅速採取行動更改了每個人的密碼。

防止網絡釣魚始於人為因素

但這並不是說Canva並未針對其空間上託管的惡意映像採取任何措施。報告的惡意文件正在被主動刪除，但它們確實可以存活幾個小時，從而使使用這些文件的網絡釣魚活動需要一段時間來造成破壞。當然，從統計上看，通過KnowBe4報告的網絡釣魚嘗試在Canva中存儲的用於惡意目的的所有潛在完整圖像總量中，只是一小部分。

與所有嚴重依賴社會工程的攻擊一樣 ， 網絡釣魚的預防和保護應主要植根於員工培訓。懸停URL的意識，格式錯誤的格式和語法（據稱是官方電子郵件），未經請求的文檔和意外的文檔都應成為明顯的紅色標誌，表明某些地方不正確。