Letztes Jahr wurde Microsoft Sway, ein Online-Präsentationsprogramm, für Phishing-Kampagnen missbraucht. Nachdem sich Berichte darüber häuften und Schulungsprogramme für Security Awareness den Fall aufgegriffen hatten, stiegen die Cyberkriminellen auf Canva um.
Canva ist eine Grafikdesign-Plattform, die Benutzern die Erstellung von Social-Media-Grafiken, Präsentationen, Postern und anderen visuellen Inhalten ermöglicht. Die Plattform ist im Web und auf Mobiltelefonen verfügbar und integriert Millionen von Bildern, Schriftarten, Vorlagen und Illustrationen. Die Benutzer können aus vielen professionell gestalteten Vorlagen wählen, die Designs bearbeiten und ihre eigenen Fotos über eine Drag & Drop-Schnittstelle hochladen. Die Nutzung der Plattform ist kostenlos, und kostenpflichtige Abonnements, wie Canva Pro und Canva for Enterprise, bieten zusätzliche Funktionen. Benutzer können außerdem für physische Produkte bezahlen, die gedruckt und versandt werden.
Canva scheint den Cyberkriminellen daher einen Ersatz für Microsoft Sway zu bieten, der es ihnen erlaubt, bösartige Dateien zu hosten, die bei Phishing-Angriffen gegen ahnungslose Benutzer eingesetzt werden können. Zumeist werden Phishing-Zertifikate eingesetzt, die jedoch weniger vertrauenswürdig sind, als diejenigen von Microsofts Office-Plattform. Eine Canva-basierte Phishing Kampagne erfolgt in der Regel in Form eines dreistufigen Verfahrens, wobei Dateien bereitgestellt werden, die für einige der gängigsten Social-Engineering-Programme Verwendung finden.
Schlüsseldokument über Canva
Keine der Phishing-E-Mails, die bislang an die Experten gesendet wurde, ist besonders bemerkenswert. Das einzige, was auffällt, ist, dass das Schlüsseldokument oder die Schlüsseldatei eben über Canva aufgesetzt wird. Cyberkriminelle sind jedoch recht geschickt darin geworden, legitime Online-Dienste auszunutzen. Im Gegensatz zu Canva werden andere Online-Diensten nicht nur zum Hosten bösartiger Inhalte, sondern auch zum Versenden von E-Mails an potenzielle Opfer ausgenutzt (Sendgrid und Dropbox, um nur zwei zu nennen). Die Rolle von Canva bei diesen Phishing-Angriffen ist eher begrenzt.
Darüber hinaus wurde bei Canva noch kein gezielter Angriff in Form eines Spear-Phishings festgestellt. Leider befindet sich Canva jedoch in der wenig beneidenswerten Lage, einen Zwischenfall mit Datenabfluss erlitten zu haben, der im Mai 2019 entdeckt und gemeldet wurde. Die kriminelle Gruppe GnosticPlayers behauptet, Daten von 139 Millionen Nutzern erhalten zu haben, darunter 61 Millionen Passwörter. Überraschenderweise hat Canva wohl die Benutzer nicht sofort veranlasst, ihre Passwörter zu ändern. Acht Monate später, im Januar dieses Jahres, berichtete Canva endlich, dass es Kenntnis von einer Liste mit vier Millionen Konten erhalten habe, die im Internet mit entschlüsselten Passwörtern zum Verkauf angeboten wurden. Nach dieser ominösen Entdeckung setzte Canva schließlich die Passwörter aller Benutzer zurück.
Schlussfolgerung
Unternehmen sollten ihre Benutzer im Rahmen eines New School Security Awareness Trainings schulen. Sonst könnte eine auf Canva basierende Phishing-Kampagne alles sein, was Cyberkriminelle benötigen, um in das Firmennetzwerk einzudringen und einen gefährlichen Zwischenfall auszulösen, der im schlimmsten Fall zum Bankrott des Unternehmens führt.