【整張圖啫】設計平台Canva遭利用作釣魚詐騙
不少人都喜歡用網上設計平台 Canva 來製圖,成品製作過程方便而出品又精美,但是黑客竟然利用 Canva 分享功能,藉以加入釣魚網頁登陸頁面。Canva 允許用家建立 URL,將設計向朋友或同事共享檔案,加入在平台中協作設計,對方只要點擊連結,就會看到整個設計頁面。
而正正就是 Canva 這個功能讓黑客有機可乘!網絡安全公司 Confense 最近公布一份報告指 Canva 面對的威脅因素愈來愈大,指透過 Canva 創建的 HTML 登陸頁面,被利用作將受害者重新導向至虛假登入頁面。報告以一封假裝是 SharePoint eFax 通知的電郵為例子,所嵌入的釣魚網址指向 canva.com ,令收件人不虞有詐按下連結,進入網址後便會看到假裝是 Fax 的內容,再指向每一條可以檢視 fax 文件的連結,而這一條就是真正的釣魚網頁的連結——要求受害者輸入登入資訊以查看文件。
至於黑客為何利用 Canva 作為「寄生」的平台,而沒有選用 Google Doc、Dropbox 等常用文件分享平台,是因為後兩者長久以來都有應付惡意攻擊,系統有更好的應對,能偵測及移除這類攻擊;反之,Canva 並非用作網站託管平台 (hosting platform)的用途,所以對發現威脅效率會較低,而且頁面存在、保持活躍的時間也相對較長。
Confense 指出, Canva或者已意識到這問題,會在發現惡意文件時就將之刪除,但是就研究結論所得,這些惡意文件中,有許多在數小時甚至數天後,仍存留在 Canva 的託管平台上;而黑客經常利用發放網絡釣魚電子郵件的Google,在檢測和刪除釣魚電郵似乎快很多。此外,使用 Canva 作為中間轉導平台,即使最終導向的網絡釣魚登錄頁面被刪除,但攻擊者仍可透過更新其Canva設計,指向新的網絡釣魚URL,令黑客攻擊活動未中斷。
