Иранский хостинг-провайдер Cloudzy обеспечивает инфраструктуру для фишинговых атак на граждан Канады

Основной вектор атаки - массовая рассылка SMS-сообщений, содержащих ссылки на фишинговые сайты. Жертвам предлагается перейти по ссылке для урегулирования якобы выписанных штрафов за парковку от имени правительства Британской Колумбии или для получения компенсации за переплату по счетам от Hydro-Québec. Сайты выглядят профессионально и убедительно копируют дизайн официальных ресурсов, что повышает доверие пользователей. Примечательно, что формы проверки данных на этих сайтах практически не выполняют своей функции. В ходе анализа эксперты успешно прошли «верификацию», введя заведомо ложные данные, включая год рождения 1901 и случайно сгенерированные номера телефонов и почтовые индексы. После этого жертву перенаправляют на страницу ввода данных банковской карты для получения «возмещения», что ведёт к прямой финансовой краже.

Особую озабоченность экспертов вызывает инфраструктурная составляющая кампании. Все выявленные мошеннические домены размещены на серверах, арендованных у RouterHosting LLC (Cloudzy). Этот провайдер виртуальных частных серверов (VPS) был публично обвинён компанией Halcyon, специализирующейся на борьбе с программами-вымогателями, в предоставлении услуг как минимум 17 государственным хакерским группам из Китая, России, Ирана, Северной Кореи и других стран. Исследователи обнаружили, что из более чем 28 000 доменов, размещённых на сетевых ресурсах этого провайдера, 134 используют канадский национальный домен верхнего уровня (.ca). При этом 58% из них содержат в названиях подозрительные термины, отсылающие к банкам, платежам или коммунальным службам Канады, что указывает на масштаб потенциально вредоносной активности.

Парадоксальным образом злоумышленникам удаётся обходить «Требования канадского присутствия» (Canadian Presence Requirements, CPR), установленные Канадским управлением интернет-регистрации (CIRA). Согласно этим правилам, регистрация домена в зоне .ca требует наличия верифицируемой связи со страной, например, гражданства или статуса постоянного резидента. Однако мошеннические домены, заведомо созданные для фишинга, успешно проходят эту проверку, эксплуатируя возможные уязвимости в процессе верификации регистрантов. Это ставит под вопрос эффективность существующих мер доверия к национальным доменам.

Юридический статус самого хостинг-провайдера также вызывает вопросы. Компания RouterHosting LLC, зарегистрированная в Вайоминге, США, была официально ликвидирована в 2024 году. Тем не менее, её ресурсы, включая номера автономных систем (ASN), которые уникально идентифицируют сеть в интернете, продолжают активно использоваться под брендом Cloudzy, штаб-квартира которого, по заявлениям основателя, находится в Дубае. При этом записи в реестре ARIN (Американский реестр интернет-номеров), отвечающем за распределение IP-адресов в Северной Америке, не обновлялись с 2023 года и до сих пор указывают на несуществующий юридический адрес в Вайоминге. Это может свидетельствовать о несоответствии требованиям ARIN, согласно которым организация должна иметь легальное присутствие в регионе и ежегодно подтверждать свой статус.

Для специалистов по информационной безопасности этот инцидент служит напоминанием о нескольких ключевых аспектах. Во-первых, фишинговые атаки становятся всё более целенаправленными (таргетированными) и локализованными, используя доверие к национальным институтам. Во-вторых, критически важно отслеживать не только сами вредоносные домены, но и инфраструктуру, на которой они размещены. Хостинг у провайдера с историей связей с APT-группами является сам по себе индикатором компрометации повышенного уровня риска. В-третьих, необходимо усилить проверку транзакций и обучать пользователей, особенно в корпоративной среде, выявлять подобные мошеннические схемы, обращая внимание на URL-адреса и не переходя по ссылкам из непроверенных сообщений.

Рекомендации для организаций включают внедрение решений для мониторинга внешней цифровой поверхности, способных автоматически обнаруживать поддельные домены и утечки данных. Для конечных пользователей главное правило остаётся неизменным: никогда не вводить личные и платёжные данные на сайтах, перейдя по ссылке из неожиданного SMS или email. Все операции следует проводить только через официальные приложения или сайты, адрес которых введён вручную. Данный кейс наглядно демонстрирует, как глобальная киберпреступность использует слабости в регуляторных и инфраструктурных цепочках для атак на конкретные страны и отрасли.

Domains

• alectra-eligibilityform-refund.ca
• ca-accnc-secu.ca
• civicpenalty-resolve.ca
• coveragesurcharge-reversal.ca
• etia.ca
• gca-error412.ca
• municipalinfraction-settle.ca
• pendingticket-reso.ca
• relink-pcoptimum.ca
• ticketmanagement-secu.ca