Plataforma de diseño en línea Canva abusada por piratas informáticos para suplantación de identidad
Los malos actores, especialmente aquellos que se enfocan en estafas y correos electrónicos de phishing, han estado cambiando su enfoque hacia la explotación de servicios en la nube y herramientas en línea para sus campañas. Después de un aumento en los correos electrónicos de phishing que utilizan contenido alojado en la plataforma de presentación Sway de Microsoft, los malos actores también han abusado de la plataforma australiana de diseño de gráficos en línea Canva para albergar sus estafas.
Como plataforma de diseño de medios en línea, Canva ofrece muchas herramientas que ayudan a los usuarios habituales a crear presentaciones y gráficos atractivos y ahora parece que los piratas informáticos y los malos actores también quieren una porción de ese pastel. Los usuarios de KnowBe4 han informado de muchos correos electrónicos maliciosos que utilizan archivos diseñados y alojados en Canva. Este proceso ha continuado a lo largo de 2020, a partir de febrero.
Falsificación de grandes marcas para víctimas de phishing
El esquema es simple: los delincuentes crean imágenes y plantillas convincentes para usar en sus correos electrónicos de phishing y atraen a los usuarios para que hagan clic en enlaces que conducen a sitios web maliciosos externos donde sus credenciales son phishing. Las imágenes de Microsoft y la falsificación de Microsoft siguen siendo uno de los contenidos falsificados que se utilizan con más frecuencia en esos correos electrónicos de phishing , ya que la popularidad de la marca es un factor importante en la ingeniería social y puede dar mucha credibilidad a un mensaje o imagen falsos.
Este aumento en la actividad maliciosa que usa materiales alojados en Canva se produce a raíz de una violación de datos en 2019. A mediados de 2019, los piratas informáticos violaron las bases de datos de Canva y lograron deslizar la información de inicio de sesión, incluidos los correos electrónicos y las contraseñas cifradas, de más de 130 millones de usuarios de Canva, y la información de pago no se vio afectada de ninguna manera. Después del incidente, Canva no se movió para cambiar inmediatamente las contraseñas de los usuarios, quizás confiando en el cifrado utilizado para las existentes. Sin embargo, después de que 4 millones de contraseñas de usuario de Canva descifradas se pusieran a la venta en línea, la compañía actuó rápidamente para cambiar la contraseña de todos.
La protección contra el phishing comienza con el factor humano
Sin embargo, eso no quiere decir que Canva no haya tomado medidas contra las imágenes maliciosas alojadas en su espacio. Los archivos maliciosos notificados se están eliminando activamente, pero permanecen activos durante unas horas, lo que les da a las campañas de phishing que usan esos archivos algo de tiempo para causar daños. Por supuesto, los intentos de phishing informados a través de KnowBe4 son estadísticamente una pequeña parte de todo el volumen total potencial de imágenes utilizadas con fines maliciosos que se almacenan en Canva.
Como ocurre con todos los ataques que dependen en gran medida de la ingeniería social, la prevención y protección del phishing deben basarse principalmente en la capacitación del personal. El conocimiento de las URL al pasar el mouse, el formato y la gramática incorrectos en los correos electrónicos supuestamente oficiales, los documentos no solicitados e inesperados deberían ser grandes señales rojas de que algo no está bien.
