- Tài nguyênSử dụng Sản phẩmCông cụ trực tuyến
VN
Đến 8:15 sáng, một thông tin đăng nhập của giáo viên bị đánh cắp có thể kích hoạt 30+ khóa học sinh, chỉnh sửa sổ điểm và cuộc gọi của phụ huynh trước khi lớp học đầu tiên bắt đầu. Nếu bạn nghi ngờ canvas bị tấn công, tốc độ vượt trội so với sự hoàn hảo: ngăn chặn quyền truy cập, bảo vệ hệ thống nhận dạng và bảo quản bằng chứng trước khi kẻ tấn công chuyển sang email, đồng bộ hóa hệ thống thông tin học sinh hoặc các công cụ tính lương.
Hướng dẫn này cung cấp cho bạn một lộ trình phản hồi thực tế mà các trường có thể chạy trong vài phút chứ không phải vài giờ: buộc đăng xuất và đặt lại mật khẩu trong Canvas, thu hồi các phiên rủi ro trong nhà cung cấp danh tính của bạn, kiểm tra các thay đổi về vai trò quản trị viên và xem lại mã thông báo ứng dụng bên ngoài được liên kết với các công cụ LTI. Bạn cũng sẽ thấy những gì cần ghi lại để báo cáo và khôi phục sự cố, dựa trên hướng dẫn của CISA cho các tổ chức K-12, thực hành xử lý sự cố NIST và tài nguyên bảo mật Canvas từ Instructure.
Mục tiêu rất đơn giản: ngăn chặn lạm dụng tài khoản nhanh chóng, tiếp tục chạy lệnh và tránh làn sóng xâm phạm thứ hai sau lần vi phạm ban đầu. Bắt đầu với danh sách kiểm tra quản thúc ngay lập tức.
Nếu bạn nghi ngờ một sự kiện bị tấn công canvas , chỉ tin tưởng vào các tín hiệu chính thức và bằng chứng tài khoản. Tin đồn lan truyền nhanh chóng trong các sự cố ở trường và lời khuyên tồi có thể phá hủy các nhật ký hữu ích.
Kiểm tra email của học khu, trang trạng thái trang web của trường và khu vực thông báo LMS. Đối với các vấn đề trên toàn nền tảng, hãy xác minh các bản cập nhật trên trang Trạng thái canvas và Cấu trúc tài nguyên bảo mật. Xác thực mọi cảnh báo trước khi nhấp vào: miền người gửi phải khớp với tên miền hoặc instructure.com trường học của bạn, các liên kết phải sử dụng HTTPS và các trang đăng nhập phải khớp với cổng đăng nhập một lần thông thường của bạn.
Mở cài đặt tài khoản Canvas và lịch sử đăng nhập của nhà cung cấp danh tính. Tìm kiếm thông tin đăng nhập vào những thời điểm kỳ lạ, thiết bị mới, vị trí IP không quen thuộc và nhiều lần thử thất bại sau đó thành công. Trước khi đặt lại bất kỳ thứ gì, hãy chụp ảnh màn hình có dấu thời gian, ID người dùng, IP, thiết bị và loại sự kiện. Lưu trữ chúng trong thư mục sự cố của bạn để bộ phận CNTT có thể theo dõi chuyển động ngang và lạm dụng mã thông báo bằng cách sử dụng hướng dẫn xử lý sự cố NIST.
Vi phạm thực sự thường bao gồm các thay đổi tài khoản mà bạn không thực hiện: email đặt lại mật khẩu mà bạn không yêu cầu, quy tắc chuyển tiếp mới hoặc thay đổi vai trò trong Canvas. Nếu các bài đăng trên mạng xã hội tuyên bố "canvas đã bị tấn công" nhưng nhật ký của bạn không hiển thị quyền truy cập bất thường, hãy coi nó là chưa được xác minh cho đến khi bộ phận CNTT xác nhận. Liên hệ với bộ phận CNTT của trường ngay lập tức nếu bạn thấy đăng nhập trái phép, chỉnh sửa vai trò hoặc truy cập ứng dụng bên ngoài không xác định.
Khi một sự cố bị tấn công canvas xảy ra, dữ liệu bị lộ thường không chỉ là chi tiết đăng nhập. Rủi ro hàng đầu là dữ liệu cho phép kẻ tấn công nhắm mục tiêu vào học sinh, nhân viên và lớp học thực sự bằng các cuộc tấn công tiếp theo đáng tin cậy. Xem lại hướng dẫn bảo mật Canvas và điều chỉnh các bước ứng phó với xử lý sự cố NIST.
Các trường có độ nhạy thấp bao gồm tên hiển thị và tiêu đề khóa học. Các trường có độ nhạy cao hơn bao gồm ID học sinh, email trường học, ID SIS, trạng thái ghi danh và danh sách phần.
| Kiểu dữ liệu | Nguy cơ lạm dụng điển hình |
|---|---|
| Tên + khóa học | Tin nhắn lừa đảo có mục tiêu |
| Mã số học sinh / Mã số SIS | Tra cứu tài khoản, đặt lại hành vi lạm dụng, mạo danh |
| Ghi danh + vai trò | Lừa đảo nhận biết vai trò ("bắt buộc giáo viên phải hành động") |
Thẻ sinh viên vẫn quan trọng. Những kẻ tấn công có thể ghép nối chúng với dữ liệu thư mục và các yêu cầu hỗ trợ giả mạo.
Điểm, phản hồi và tải lên tệp làm tăng tác động nhanh chóng. Họ có thể tiết lộ các ghi chú khuyết tật, hồ sơ kỷ luật hoặc bài viết cá nhân. Điều đó tạo ra rủi ro liêm chính trong học tập và các vấn đề tuân thủ có thể xảy ra theo FERPA. Nếu dữ liệu này bị rò rỉ, hãy thông báo sớm cho nhóm pháp lý và quyền riêng tư, sau đó khóa quyền tải xuống và chia sẻ.
Siêu dữ liệu như vai trò, ngày học kỳ và tên người hướng dẫn làm cho các trò gian lận trông có vẻ thật. Những kẻ tấn công có thể tính thời gian tin nhắn trước kỳ thi hoặc thời hạn. Sau khi tiết lộ vi phạm, sinh viên mới, người thay thế và nhân viên bán thời gian là mục tiêu dễ dàng hơn. Trong phản hồi bị tấn công canvas, hãy đẩy một mẫu cảnh báo ngắn và yêu cầu nhân viên xác minh yêu cầu đặt lại hoặc thanh toán thông qua kênh nội bộ đã biết.
Nếu bạn nhận được cảnh báo bị tấn công canvas, hãy hành động theo thứ tự sau: ngăn chặn quyền truy cập, khóa đường dẫn khôi phục, sau đó báo cáo với bằng chứng rõ ràng. Trình tự này khớp với hướng dẫn xử lý sự cố NIST và bảo mật Canvas.
Đặt lại mật khẩu cho tài khoản nhà cung cấp danh tính (Google Workspace, Microsoft Entra ID hoặc SSO trường học), sau đó đặt lại Canvas, sau đó là email trường học. Giữ mỗi mật khẩu duy nhất. Buộc đăng xuất khỏi tất cả các phiên đang hoạt động trong cài đặt quản trị viên Canvas và nhà cung cấp danh tính của bạn. Điều này sẽ xóa quyền truy cập của kẻ tấn công khỏi các phiên trình duyệt đã lưu trên các thiết bị dùng chung hoặc bị đánh cắp. Tạm dừng tích hợp rủi ro cho đến khi được xem xét, đặc biệt là các công cụ bên ngoài sử dụng token LTI.
Bật MFA cho tài khoản nhân viên ngay lập tức; Trình xác thực dựa trên ứng dụng an toàn hơn SMS nếu có thể. Kiểm tra email và điện thoại khôi phục trên cả tài khoản SSO và tài khoản được liên kết với Canvas. Xóa các phương pháp khôi phục không xác định. Xem lại các quy tắc chuyển tiếp trong email của trường. Những kẻ tấn công thường thêm tính năng chuyển tiếp ẩn để giữ quyền truy cập sau khi đặt lại mật khẩu.
Gửi một báo cáo sự cố cho CNTT/bảo mật với: tên người dùng, vai trò, thời gian cảnh báo, đăng nhập an toàn được biết lần cuối, IP/vị trí đáng ngờ, cài đặt thay đổi và các khóa học bị ảnh hưởng. Đính kèm ảnh chụp màn hình và xuất nhật ký liên quan nếu có. Sử dụng một chuỗi phiếu chia sẻ để quản trị viên tránh đặt lại xung đột hoặc hành động trùng lặp. Tuân theo cẩm nang học khu của bạn phù hợp với các thực hành an ninh mạng CISA K-12.
Nếu trường học của bạn báo cáo sự cố bị tấn công canvas, các bước dựa trên vai trò hoạt động tốt hơn một danh sách kiểm tra cho tất cả mọi người. Bắt đầu cùng ngày, sau đó lặp lại hàng tuần cho đến khi hoạt động sạch sẽ.
Sử dụng trình quản lý mật khẩu và tạo mật khẩu duy nhất cho Canvas có ít nhất 14 ký tự. Không bao giờ sử dụng lại mật khẩu email của bạn. Bật xác thực đa yếu tố nếu hệ thống nhận dạng trường học của bạn hỗ trợ. Cập nhật trình duyệt, hệ điều hành và phần mềm bảo mật của bạn trước lần đăng nhập tiếp theo. Xóa các tiện ích mở rộng mà bạn không nhận ra. Trên các thiết bị dùng chung, hãy đăng xuất sau mỗi phiên và xóa thông tin đăng nhập đã lưu.
Coi các tin nhắn khẩn cấp "học phí đến hạn ngay" hoặc "tài khoản bị khóa" là đáng ngờ cho đến khi được xác minh. Những kẻ tấn công thường sao chép logo trường học và tên người gửi. Gọi cho trường bằng số trên trang web chính thức, không phải số trong tin nhắn. Chỉ kiểm tra thanh toán thông qua dấu trang cổng thông tin dành cho phụ huynh thông thường của bạn. Không chia sẻ thẻ sinh viên, mã dùng một lần hoặc chi tiết thẻ qua email. Xem lại hướng dẫn từ CISA về an ninh mạng K-12.
Xóa các quyền bổ sung cho trợ lý và người thay thế sau mỗi nhiệm kỳ. Tiếp tục chấm điểm, chỉnh sửa danh sách và xuất bản khóa học chỉ giới hạn cho nhân viên cần thiết. Chạy kiểm tra hàng tuần: thay đổi vai trò bất thường, mã thông báo ứng dụng bên ngoài mới và vị trí đăng nhập kỳ lạ. Sử dụng tài nguyên bảo mật Canvas và điều chỉnh kiểm tra với phương pháp xử lý sự cố NIST. Nếu một cảnh báo bị tấn công canvas khác xuất hiện, hãy buộc đăng xuất và đặt lại mật khẩu ngay lập tức.
Khi người dùng báo cáo quyền truy cập canvas bị tấn công, hãy gửi một luồng tin nhắn đã xác minh trong vòng 60 phút, sau đó cập nhật trên đồng hồ cố định. Sử dụng định dạng nhật ký sự cố của bạn từ NIST SP 800-61 và các nhiệm vụ báo cáo của trường phù hợp với hướng dẫn của CISA K-12.
Nêu rõ những gì đã xảy ra, những hệ thống nào bị ảnh hưởng, những gì nhà trường đã làm và những gì gia đình nên làm bây giờ (đặt lại mật khẩu, theo dõi lừa đảo, chỉ sử dụng các kênh chính thức). Không đoán phạm vi tấn công, mất dữ liệu hoặc danh tính kẻ tấn công cho đến khi CNTT xác nhận bằng chứng.
Đặt một chủ sở hữu cho mỗi nhiệm vụ: CNTT chứa và xác thực, kiểm tra pháp lý thông báo nhiệm vụ, học giả xử lý tính liên tục của lớp học. Công bố cập nhật trạng thái 4 giờ một lần trong thời gian quản thúc đang hoạt động, sau đó hàng ngày cho đến khi đóng cửa.
Giữ các mẫu sẵn sàng gửi cho nhân viên, học sinh, gia đình và nhà cung cấp. Sau mỗi sự kiện bị hack canvas, hãy chạy một bài đánh giá kéo dài 30 phút: hành động nào bị trì hoãn, thông điệp nào gây nhầm lẫn, bước playbook nào cần viết lại.
Khi một mật khẩu được dán vào email hoặc trò chuyện, mật khẩu đó có thể được sao chép, chuyển tiếp hoặc lưu trữ ở những nơi bạn không theo dõi. Nếu một thiết bị đã bị nhiễm, mật khẩu có thể bị rò rỉ trở lại. Thông tin đăng nhập được chia sẻ cũng ẩn ai đã thay đổi nội dung. Trong quá trình khôi phục, một người có thể thu hồi phiên trong khi người khác đặt lại cài đặt và bạn sẽ mất dấu vết. Điều đó dẫn đến việc vô tình khóa, bỏ lỡ các thay đổi độc hại.
Bạn có thể sử dụng DICloak để tạo cấu hình trình duyệt riêng biệt cho từng quy trình khôi phục, sau đó liên kết từng cấu hình với proxy riêng của nó. Điều này giúp các hành động của quản trị viên tách biệt và giảm sự nhầm lẫn giữa các tài khoản. Bạn cũng có thể đặt quyền nhóm dựa trên vai trò và xem lại nhật ký hoạt động, vì vậy mọi đặt lại, chỉnh sửa vai trò và kiểm tra mã thông báo đều có chủ sở hữu và dấu thời gian.
Sau khi cảnh báo bị tấn công canvas, sự chậm trễ thường đến từ lỗ hổng quy trình, không phải công cụ. Nếu các nhóm chia sẻ mật khẩu trong cuộc trò chuyện trong khi phân loại, một hộp thư đến bị rò rỉ có thể khởi động lại vi phạm.
Đặt lại Canvas không thành công nếu kẻ tấn công vẫn kiểm soát email của nhân viên hoặc SSO. Kiểm tra các phiên Google hoặc Microsoft được liên kết, quy tắc chuyển tiếp thư, đặt lại MFA và thay đổi điện thoại khôi phục trước khi mở lại quyền truy cập. Sử dụng các bước xử lý sự cố NIST làm lệnh phân loại của bạn.
Lừa đảo sau vi phạm thường nói "đăng nhập lại bắt buộc trong 30 phút" hoặc "đang chờ khóa học khu". Xác minh thông báo trong trang trạng thái LMS chính thức hoặc bảng điều khiển quản trị danh tính của bạn, không phải liên kết email. Xem Hướng dẫn bảo mật Canvas.
Không có nhật ký có nghĩa là lặp đi lặp lại sai sót. Ghi lại dòng thời gian, vai trò bị ảnh hưởng, thu hồi mã thông báo và số lần tiêu diệt phiên cho thực hành báo cáo K-12. Các công cụ như DICloak cho phép bạn chia sẻ hồ sơ riêng biệt thay vì thông tin đăng nhập thô, liên kết từng hồ sơ với proxy, gán quyền, giữ nhật ký hoạt động và chạy hành động hàng loạt hoặc RPA để dọn dẹp sau sự kiện bị tấn công canvas.
Nếu nhóm của bạn phải đối mặt với sự cố tấn công canvas, hãy coi 30 đến 90 ngày tiếp theo là thời gian phòng thủ tích cực. Lạm dụng chậm trễ thường bắt đầu sau khi các trường nới lỏng kiểm soát. Xây dựng kiểm tra ngắn hàng tuần bằng cách sử dụng các bước xử lý sự cố NIST, hướng dẫn CISA K-12 và tài nguyên bảo mật Canvas.
Xem hộp thư đến, tin nhắn hộp thư đến LMS và kênh dành cho phụ huynh để biết thông báo thời hạn giả mạo, cảnh báo thay đổi điểm hoặc yêu cầu thanh toán khẩn cấp gắn liền với tên lớp thật. Những kẻ tấn công sử dụng lại ngữ cảnh bị đánh cắp. Tạo một đường dẫn báo cáo nhanh: một bí danh email, thẻ bộ phận trợ giúp và cảnh báo trò chuyện của quản trị viên. Đặt quy tắc rằng mọi báo cáo mạo danh đều được phân loại ngay trong ngày. Nếu nhân viên xác nhận một tin nhắn giả mạo, hãy tìm kiếm các mẫu người gửi trùng khớp trên tất cả người dùng.
Chỉ sử dụng giám sát danh tính hoặc tín dụng khi dữ liệu bị lộ bao gồm tên pháp lý, ngày sinh, SSN hoặc chi tiết ngân hàng. Nếu vi phạm nằm trong dữ liệu môn học, hãy tập trung vào các tín hiệu lạm dụng tài khoản. Kích hoạt hành động ngay lập tức đối với cảnh báo đăng nhập thiết bị mới, liên tục đặt lại mật khẩu, thay đổi phương thức MFA, chỉnh sửa hồ sơ SIS hoặc ủy quyền công cụ bên ngoài không mong muốn.
Vào ngày thứ 30, hãy kiểm tra thời gian phát hiện, thời gian khóa tài khoản và lặp lại báo cáo lừa đảo. Vào ngày thứ 60, cập nhật khóa đào tạo nhân viên với ảnh chụp màn hình thực tế từ sự kiện. Vào ngày thứ 90, chạy một cuộc diễn tập nhỏ dựa trên đường dẫn bị hack ban đầu và xác minh cảnh báo thay đổi vai trò vẫn kích hoạt.
Đóng băng tín dụng ngay lập tức nếu dữ liệu bị lộ bao gồm số An sinh Xã hội, số chứng minh nhân dân hoặc ngày sinh đầy đủ cộng với địa chỉ. Ở Hoa Kỳ, đóng băng tín dụng là miễn phí với mỗi văn phòng. Nếu vi phạm chỉ làm lộ tin nhắn hoặc tệp lớp học của trường, hãy bắt đầu với cảnh báo gian lận và giám sát tài khoản, sau đó leo thang nếu dữ liệu nhận dạng xuất hiện.
Đúng. Sự kiện bị tấn công canvas có thể lây lan nếu bạn sử dụng lại cùng một mật khẩu trên email, ngân hàng hoặc trang web mua sắm. Những kẻ tấn công kiểm tra thông tin đăng nhập bị đánh cắp trên các dịch vụ khác. Email của bạn là mục tiêu hàng đầu vì đặt lại mật khẩu ở đó. Bảo mật email trước, sau đó là điện thoại khôi phục, email sao lưu và câu hỏi bảo mật để chặn chiếm đoạt tài khoản.
Giám sát trong ít nhất 12 tháng và lâu hơn nếu dữ liệu nhận dạng nhạy cảm bị lộ. Theo dõi các email lừa đảo sử dụng tên trường, hóa đơn học phí giả, cảnh báo tài khoản mới, tin nhắn hoán đổi SIM và các yêu cầu tín dụng mà bạn không yêu cầu. Luôn cập nhật thông báo cho các cổng thông tin ngân hàng, email và sinh viên. Các làn sóng lừa đảo mới đang diễn ra có nghĩa là lạm dụng vẫn đang hoạt động.
Không. Thay đổi mật khẩu Canvas, sau đó bật MFA, thu hồi tất cả các phiên đang hoạt động và đăng xuất khỏi các thiết bị được ghi nhớ. Cập nhật mật khẩu được sử dụng lại trên các trang web khác ngay lập tức. Kiểm tra các tài khoản được liên kết, đặc biệt là email và bộ nhớ đám mây. Quét thiết bị để tìm phần mềm độc hại và tiện ích mở rộng trình duyệt mà bạn không nhận ra. Một thay đổi mật khẩu sẽ hữu ích, nhưng các bước phân lớp sẽ ngăn chặn quyền truy cập lặp lại.
Thông thường khu học chánh, cao đẳng hoặc tổ chức kiểm soát dữ liệu phải thông báo cho những người bị ảnh hưởng. Canvas (nhà cung cấp) cũng có thể có nhiệm vụ hợp đồng để báo cáo sự cố cho tổ chức một cách nhanh chóng. Thời gian và các chi tiết bắt buộc được quy định bởi luật vi phạm của tiểu bang hoặc quốc gia. Các gia đình nên kiểm tra hướng dẫn của cơ quan quản lý địa phương và thông báo vi phạm chính thức của trường.
Hiểu cách hoạt động của hack canvas làm nổi bật một sự thật rộng hơn về quyền riêng tư trực tuyến: ngay cả các tín hiệu trình duyệt nhỏ cũng có thể bị khai thác để theo dõi, mạo danh hoặc bỏ qua các biện pháp bảo vệ nếu không được quản lý. Điểm mấu chốt là kết hợp nhận thức với các biện pháp phòng thủ thực tế, bao gồm các công cụ chống dấu vân tay, kiểm tra bảo mật thường xuyên và hồ sơ trình duyệt được kiểm soát để giảm khả năng tiếp xúc của bạn. Dùng thử DICloak miễn phí
