駭客如何濫用技術發動網路釣魚攻擊

駭客如何破解密碼,Canva 的公開分享功能將每個設計變成一個網頁，並透過堅不可摧的canva.com網域進行訪問，這對那些借用信任行事的攻擊者來說無疑是雪上加霜。在典型的 Canva 釣魚攻擊中，犯罪分子會發布一個看似無害的設計，透過電子郵件發送鏈接，然後觀察安全的電子郵件網關和用戶是否放鬆警惕。只需點擊一下，隱藏的 JavaScript 就會關閉瀏覽器，並將其發送到憑證竊取網站或惡意軟體植入程式。

在這篇部落格中，我們將逐步剖析一次基於 Canva 的真實攻擊，準確地展示重定向鏈的工作原理、調查期間出現的妥協指標，以及如何使用分層防禦打破殺傷鏈。

Canva 網路釣魚如何運作？

網路犯罪分子巧妙地利用 Canva 的合法設計共享功能，將釣魚連結偽裝成普通內容進行傳播。透過利用 Canva 的受信任域名，攻擊者可以顯著提高繞過電子郵件和網路過濾系統的機會。

通常，駭客會建立模仿真實文件或網站的設計，並將惡意 URL 直接嵌入 Canva 專案中。這些惡意設計隨後會被公開分享，從而為攻擊者提供一個由 Canva 託管的可靠連結。信任 Canva 網域的不知情用戶更有可能點擊這些鏈接，從而無意中洩露其敏感資訊或憑證。

基於 Canva 的網路釣魚詐騙：逐步分析

Canva 允許任何人以公開網頁或簡短的「canva[.]site」連結的形式發佈設計。威脅行為者濫用了這種信任：看似無害的 Canva 演示文稿鏈接，實際上只是憑證竊取鏈條中的第一步，可以繞過安全電子郵件網關 (SEG)和信譽過濾器。

以下對攻擊的每個階段進行了更深入、駭客如何破解密碼,更專業的分析，並指出了防禦者應該關注的危險信號。

1. 偽造的「應付帳款」電子郵件

活動以一封帶有偽造顯示名稱的 HTML 電子郵件開始（例如「Accounts Payable noreply@payments-alerts.com」）。

信譽繞過：可點擊的 URL 是https://www.canva[.]com/design/…或https://mycompany.canva.site/payment-notice – 大多數 SEG 將其視為良性的域名，因此該訊息可以透過 DMARC/SFP/DKIM 檢查。
有效載荷交付：包裹無害的 Canva 縮圖的<a>標籤使誘餌看起來像等待審核的 PDF 發票。

Defender 提示：僅為經過驗證的內部 Canva 帳戶新增允許清單例外；將外部建立的 Canva 連結視為中性或未知。

2. 偽造驗證碼門

點擊 Canva 鏈接，即可在“網頁演示”模式下打開該設計。第一張投影片包含一個嵌入的偽造 reCAPTCHA v2 小部件，該小部件是從 Google 合法取得的。

手動驗證劇場：由於 CAPTCHA 從www.google.com/recaptcha/*發起，瀏覽器的網路窗格會顯示可信任來源，欺騙精明的使用者。
隱藏重定向：CAPTCHA 的成功回呼會觸發window.location.replace()到儲存在設計 JavaScript 區塊內的攻擊者控制的 URL – Canva 不會對出站連結進行清理的程式碼。

3. 偽造的 Google OAuth 門戶

使用者現在位於hxxps://login-secure-accounts[.]xyz/ServiceLogin?… 上，這是使用開源Mr.D0x Browser-in-the-Browser (BitB)框架建立的 Google OAuth 流程的像素完美克隆。

BitB 幻覺：JavaScript 呈現的「瀏覽器框架」隱藏了真實的網址列，即使父源是惡意的，也會顯示accounts.google.com 。
多因素重播：網路釣魚接受密碼，然後立即要求輸入一次性代碼，將兩者轉送到攻擊者端的反向代理，然後即時將其中繼給 Google。

防禦者提示：強制使用通用 WebAuthn 或 FIDO2 令牌；僅靠密碼+OTP 不足以抵禦即時中繼攻擊。

4. 初始 URL 掃描看起來乾淨

負責原始電子郵件分類的安全營運團隊通常會將 Canva 連結提交給 VirusTotal 或 URLhaus。由於該檔案位於受信任的 Canva 子網域中，且不包含直接的憑證竊取程式碼，因此 90% 以上的引擎都會傳回「乾淨」結果。

側車傳送：惡意 JavaScript 僅在使用者互動（CAPTCHA 成功回呼）後觸發，因此靜態掃描器會錯過它。

5. 最後一跳被標記為網路釣魚/惡意軟體

外部網站（現在距離收件匣有幾跳）會得到截然不同的判決：多個引擎將該網域標記為網路釣魚、惡意軟體植入腳本或兩者兼而有之。

命令與控制階段：竊取憑證後，頁面會推送一個混淆的 JS blob，對瀏覽器進行指紋識別，並在 Windows 上嘗試下載.hta有效負載，從而側載 Cobalt Strike。

Canva 的合法分享功能為攻擊者提供了一個乾淨的攻擊平台。透過連結驗證碼、類似的 OAuth 視窗和快速重定向邏輯，攻擊者可以繞過技術和人工防禦。建構控制機制，將所有網域名稱（無論是否受信任）視為有罪，直至證明其無罪。

Canva 網路釣魚的真實危害指標 (IoC)

以下是此次活動中確認的兩件文物，並對其進行了詳細描述，以便您能夠識別它們以及任何與它們相似的東西。

IOC #1 — Canva 託管的誘餌

https://www.canva.com/design/DAGp9eU-YSU/sMqhyPZnufuqyJeSK1-nQw/view?utm_content=DAGp9eU-YSU&utm_campaign=designshare&utm_medium=link2&utm_source&utm_campaign=designshare&utm_medium=link2&utm_source=uniques&utm_source

為什麼它會引起警覺：

信譽搭便車：canva.com下的任何內容通常都被認為是安全的，並且已被許多安全電子郵件閘道列入白名單。攻擊者會利用這種信任，繞過 DMARC/SFP/DKIM 和信譽檢查。
公共設計指紋：路徑段/design/<ID>/…/view表示這是一個已發布的 Canva“網站”，而非私人團隊文件。公共設計可以嵌入 Canva 未過濾的任意 JavaScript。
遙測偽裝：多個utm_參數（utm_content、utm_campaign、utm_medium、utm_source ）模仿合法的營銷鏈接，阻止人工和自動化工具進行更深入的檢查。
點擊重定向：此設計包含一個小腳本，僅在受害者點擊「查看發票」等按鈕後執行。它會呼叫window.location.replace()將瀏覽器傳送到攻擊者的下一個階段－靜態沙箱通常會錯過這種行為。

偵測和回應提示：

將每個以/view結尾並帶有utm_參數的外部Canva URL 視為灰色，直到點擊感知沙盒中引爆。
如果您的組織在內部使用 Canva，請建立允許清單規則，僅信任由您的公司 Canva 租用戶簽署的 URL；隔離其他所有內容以供手動審查。
使用郵件過濾器標記來自您網域外的帶有 Canva 連結以及財務主題語言（發票、付款、聲明）的訊息。

IOC #2 — 輔助網路釣魚主機

https://f75gs.itchriat.com/RWCVHZDYCGWOLJFSTZSLSOJPSSXOELEHBJOPQZOSXMW0STH0BCVY5KO0OPQ8Y673Z2M7FGKVZ5LXQMG?UTVGMMHLFVRXJETLWWWNQ、

為什麼它會引起警覺：

全新的基礎設施：頂級域名itchriat.com在攻擊活動前幾天才註冊，其 WHOIS 資料隱藏在隱私代理之後。新創建的網域在「肇事逃逸」式網路釣魚行動中很常見。
Cloudflare 前端：該網站位於 Cloudflare 後面，掩蓋了其真正的託管服務提供者和 IP 歷史記錄，這使得刪除和歸因工作變得複雜。
路徑高熵：路徑中一個 64 個字元的 base-32 slug，後面跟著一個同樣長的查詢字串，表示這是一個自動釣魚工具包，會為每個目標產生唯一的令牌。高熵路徑在合法的 Web 應用程式中很少使用。
負載行為：載入後，網站會提供與 Google 登入流程相同的瀏覽器內嵌 (BitB) 複製版本。竊取憑證和一次性程式碼後，它會投遞一個經過混淆的 JavaScript blob。在 Windows 主機上，腳本會嘗試取得.hta文件，該文件會透過側載的方式載入 Cobalt Strike 或 Sliver 信標。

偵測和回應提示：

除非有業務理由，否則阻止或挑戰少於 30 天的域名的出站連接。
配置您的 Web 代理程式以標記路徑或查詢段超過長度閾值（例如，40 個隨機字元）或包含不可能的字元分佈的 URL。
在 DNS 和代理日誌中追溯搜尋到itchriat.com或子網域的任何流量- 特別是當 User-Agent 字串與 Windows 上的 Chrome/Edge 匹配並且 HTTP 方法是.hta或大型 JavaScript 檔案的GET 時。

為什麼這種兩步驟方法如此危險

品牌信任降低了人類的懷疑程度。 Canva的知名網域讓使用者和自動過濾器相信這封電子郵件是無害的。
分階段交付優於靜態分析。 Canva頁面本身在用戶點擊之前是“乾淨的”，因此傳統的 URL 網站信譽和沙盒引爆檢測不會發現明顯的惡意內容。
即時憑證代理。第二台主機透過即時反向代理程式擷取密碼和多因素驗證碼，從而繞過簡訊和身份驗證器應用程式的 OTP 驗證。
快速重組。即使執法部門或 Canva 濫用團隊撤下設計，具有相同 JavaScript 的新公開連結也可以在幾分鐘內上線；攻擊者只需更新其垃圾郵件範本中的 URL 即可。

立即採取防禦措施（沒有表格，只有行動項目）

電子郵件控制－重寫、隔離或至少用橫幅包裝指向帶有/view和utm_參數的設計的任何外部 Canva 連結。
網路控制－拒絕對 30 天以內的網域的外部流量；監控高熵 URL 路徑；在策略允許的情況下啟用完整的 TLS 檢查。
身分強化－加速推出抗網路釣魚的 WebAuthn/FIDO2 令牌，並停用可代理的舊式 MFA 回退。
威脅情報攝取－將 IoC 都輸入到您的 SIEM 和 EDR 封鎖清單中，然後對過去 30 天內的命中情況進行回顧性搜尋。

底線：一個 Canva 連結就能發動複雜的多階段網路釣魚攻擊，繞過人類直覺和傳統的安全控制機制。將知名域名視為有條件信任的域名，而非固有安全域名，並設定防禦措施以識別上述行為標記。

建構針對 Canva 式網路釣魚的深度防禦策略

那些利用 Canva 等熱門品牌的網路釣魚活動之所以能夠成功，正是因為它們看起來很普通。以下是一個實用且注重技術的策略，您可以立即應用——沒有靈丹妙藥，只有層層控制，迫使攻擊者在到達員工收件匣之前清除重重障礙。

1. 使安全意識成為一個持續的過程

每月進行「微培訓」密集訓練。針對最新誘餌（例如驗證碼重新導向、瀏覽器中的瀏覽器）進行五分鐘的模組訓練，既能保持肌肉記憶，又不會讓員工感到壓力過大。
關注信譽品牌濫用行為。將真實的 Canva、Google Docs 和 Microsoft 連結與惡意仿冒連結並排顯示，以便用戶了解其中的細微之處——奇怪的子路徑、過多的追蹤參數或/view?utm_…尾標。
衡量並調整。使用Keepnet 的安全意識訓練分析功能，標記那些持續點擊測試釣魚郵件的部門或崗位，並為這些人員安排額外的培訓。

2. 檢查每個鏈接，即使它位於“良好”域名上

懸停並展開。訓練員工暫停兩秒鐘，懸停，然後從右到左閱讀完整的 URL（<domain>/<path>?<params> ）。
點擊時間重寫。設定您的安全電子郵件網關或代理，將所有外部 Canva URL 傳遞到模擬使用者點擊和 JavaScript 執行的爆炸沙盒。
灰名單政策。僅將企業租戶產生的 Canva 連結列入白名單；其他所有內容，除非經證實為良性，否則視為不受信任。

3. 全面部署防網釣魚 MFA

超越 OTP。一次性驗證碼（簡訊、身份驗證器應用程式）可以透過 Evilginx 等工具即時代理。將高價值帳戶移轉到硬體綁定的 FIDO2 / WebAuthn 令牌。
強制執行有條件存取。即使擁有強大的 MFA，也需要對來自新設備或正常地理位置之外的 IP 範圍的首次登入進行額外審查。
審計後備通路。停用「簡訊恢復」或「電子郵件重置」路徑，因為攻擊者一旦竊取主要憑證，就可能利用這些路徑。

4. 建立零處罰報告文化

一鍵檢舉按鈕。整合 Keepnet 的網路釣魚模擬器 Outlook/Gmail 插件，工作人員只需輕輕一按，即可將可疑的 Canva 設計或連結直接轉發至 SOC。
響應 SLA。發布明確的預期：安全人員將在 15 分鐘內確認每份報告，並在 1 小時內分享結論。快速回饋可保持用戶參與度。
將好釣點遊戲化。當有人發現精緻的誘餌時，給予小額獎勵或排行榜積分；積極的鼓勵勝過羞辱。