Канадские фишинговые атаки эволюционируют: мошенники используют федеральный стиль и PhaaS для кражи данных

Ключевым нововведением стала имитация не просто провинциальных, а федеральных сервисов. Злоумышленники создали фальшивый «Портал поиска дорожных штрафов - Правительство Канады», агрегирующий несколько провинций под единым интерфейсом. Этот подход централизует доверие жертв и позволяет быстро масштабировать атаки на разные регионы по одному шаблону. Было обнаружено более 70 веб-сайтов, подделывающих официальный домен canada.ca и размещённых на общем IP-адресе.

Классическая схема начинается с SMS-сообщения, создающего ощущение срочности: якобы неуплаченный штраф, проблема с доставкой или ошибка в бронировании. После перехода по ссылке жертва попадает на этап «фальшивой валидации», где требуется ввести номер штрафа или брони. Эти поля принимают любые значения, их цель - создать иллюзию легитимности процесса. Затем пользователь перенаправляется на поддельный платёжный шлюз, предназначенный для кражи платёжных реквизитов и личных данных.

Инфраструктура атак демонстрирует высокую степень автоматизации. Анализ доменных имён выявил систематическое использование ключевых слов: «ticket», «traffic», «portal», «violation». Это указывает на их массовую генерацию. Активность сосредоточена в подсети 45.156.87.0/24, где размещаются фишинговые страницы, имитирующие провинциальные сервисы, такие как PayBC в Британской Колумбии и ServiceOntario в Онтарио.

Кампания не ограничивается темой штрафов. Исследователи обнаружили домены, имитирующие Canada Post с использованием слов «redeliver» и «parcel», что указывает на сценарии с «неудавшейся доставкой». Параллельно развивается направление, нацеленное на авиаперевозки. Злоумышленники регистрируют домены с опечатками (например, aircanda-booking[.]com), чтобы перехватывать пользователей, ошибающихся при вводе адреса Air Canada. Эти сайты клонируют оригинальные фавиконы и заголовки страниц, что повышает их убедительность.

Распространение таких кампаний поддерживается моделью «Фишинг как услуга» (PhaaS). На теневых форумах активен угрозовый актор под псевдонимом 'theghostorder01', продающий фишинговые наборы для имитации процесса продления водительских прав в Онтарио. Наборы предназначены для сбора полных личных данных, учетных записей Interac e-Transfer и данных кредитных карт. Продавец принимает оплату в криптовалюте (USDT, Bitcoin), что затрудняет отслеживание.

Важно отметить, что технический барьер для создания подобных атак снижается. Злоумышленники могут использовать генеративный ИИ для быстрой разработки backend-логики обработки данных жертв. Вместо сложных серверных баз данных информация может передаваться через API прямо в мессенджеры в реальном времени.

Риски для пользователей крайне высоки. Происходит массовая компрометация конфиденциальной информации, что ведёт к прямому финансовому мошенничеству и захвату аккаунтов. Кроме того, подрывается доверие к легитимным государственным и коммерческим сервисам Канады. Диверсификация атак на разные секторы увеличивает общую поверхность для мошенничества.

Для защиты эксперты рекомендуют организациям внедрять proactive-мониторинг доменов на предмет опечаток и ключевых слов, а также инициировать процедуры быстрого их удаления. На уровне сетевой безопасности следует блокировать новые домены, подозрительные доменные зоны (например, .live, .info) и известные IP-диапазоны, связанные с PayTool. Критически важны кампании по повышению осведомлённости, напоминающие, что государственные органы и авиакомпании не запрашивают платежи или чувствительные данные через SMS-ссылки. Пользователям следует напрямую заходить на официальные сайты через сохранённые закладки, а не переходить по ссылкам из сообщений или рекламы.

Таким образом, фишинг в Канаде перешёл на новый уровень, используя детальную локализацию и федеральный брендинг для обмана. Тенденция к коммерциализации через PhaaS гарантирует постоянное обновление инструментария злоумышленников, что требует повышенной бдительности как от организаций, так и от обычных граждан.

IPv4

• 15.156.206.92
• 15.223.72.181
• 162.243.100.252
• 192.109.138.183
• 198.23.156.130
• 209.141.50.110
• 3.96.139.96
• 3.97.15.116
• 3.97.9.55
• 3.99.171.190
• 35.182.194.55
• 35.183.132.238
• 35.183.85.238
• 45.156.87.131
• 45.156.87.143
• 45.156.87.145
• 45.156.87.213
• 99.79.60.130

Domains

• a25pont-laval.com
• abmarketworks.com
• ab-speed.com
• air-canaada-booking.com
• aircanda-booking.com
• airscanada-booking.com
• amende-enligne-qc.com
• bc-account.com
• bc-infraction.com
• canpost.handlingparcel.info
• capost.handlingxpress.info
• capost.redeliverparcel.info
• handlingparcel.info
• handlingpostecan1.com
• handlingxpress.info
• justice-ticket-portal.com
• my-traffic-citation.com
• my-traffic-citations.com
• my-traffic-offence.com
• my-traffics-citation.com
• my-traffics-citations.com
• my-traffic-ticket-portal.com
• my-traffic-tickets-portal.com
• my-traffic-violation.com
• my-traffic-violations.com
• ontario-paytool-2025.com
• ontarioticketpay.live
• outel.abmarketworks.com
• overdueticketinfraction.info
• parking-fines.com
• parking-portal.live
• paybconline-ticket.live
• paybc-portal.live
• paytoll-canada.com
• paytool-ab-2025.com
• paytool-bc-2025.com
• postcan-track-elment.live
• PublicDomainRegistry.com
• quickplate-check.com
• redeliverparcel.info
• Registrar.eu
• search-portal-ticket.com
• search-ticket-portal.com
• serviceab-ticket.live
• serviceon-ticket.live
• speedfines.com
• ticket-portal-infraction.com
• ticket-portal-infractions.com
• ticket-portal-search.com
• ticket-portal-violation.com
• ticket-portal-violations.com
• ticket-search-portal.com
• ticket-search-violation.com
• ticket-search-violations.com
• unpaid-ticket-ca.live
• vancouver-infraction.com
• ville-montreal-pay.com
• ville-montreal-ticket.live
• www.handlingpostecan1.com