Канадцы под угрозой: Фишинговый портал подделывает сайты для оплаты штрафов через поисковое отравление

Кампания тщательно спланирована и нацелена на несколько провинций, включая Онтарио, Квебек, Британскую Колумбию, Альберту, Манитобу и Саскачеван. Центральная посадочная страница перенаправляет пользователей на провинциальные подстраницы, URL-адреса которых содержат соответствующие двухбуквенные коды. Например, для Онтарио используется путь "/on/", а для Альберты - "/ab/". Эти поддельные порталы, такие как "my-traffic-ticket-portal[.]com", в ноябре 2025 года занимали высокие позиции в результатах поисковых систем, что значительно повышало их охват и видимость.

Поисковое отравление стало ключевым фактором успеха этой операции. Злоумышленникам удалось проиндексировать свои вредоносные домены в основных поисковых системах. В результате запросы вроде «traffic ticket search portal government of Canada» выводили фишинговые сайты на второе место в выдаче, придавая им видимость легитимности. Вся выявленная инфраструктура, домены которой содержали подстроку ‘ticket’, была размещена на одном IP-адресе: 198.23.156[.]130.

Анализ регистрационных данных WHOIS выявил кластерную активность. Основная группа из десяти доменов была зарегистрирована 29 ноября 2025 года через регистратора MAT BAO CORPORATION из Малайзии. Ранее, в сентябре-октябре 2025 года, для аналогичных целей использовался регистратор Global Domain Group LLC, что, вероятно, было этапом раннего тестирования перед масштабным развертыванием.

Механизм кражи данных реализован через многоэтапный процесс. Сначала пользователь вводит номерной знак автомобиля. Затем фишинговый сайт запрашивает личную информацию: имя, адрес, дату рождения, email и номер телефона. После этого жертве показывается фальшивая сумма штрафа, например, 55 долларов, и её перенаправляют на страницу оплаты для ввода данных кредитной карты, включая номер, срок действия и CVV-код.

Собранные данные перехватываются с помощью JavaScript и асинхронно отправляются методом POST на вредоносный бэкенд-контроллер по адресу "../ipanel/inc/action.php", минуя законные государственные серверы. Для управления жертвами в реальном времени злоумышленники используют тактику «комнаты ожидания» (waiting room). Браузер пользователя каждые две секунды опрашивает сервер ("status.php?type=getstatus"), что позволяет атакующему удерживать жертву на экране загрузки и вручную инициировать перенаправления на основе специальных кодов.

Например, статусный код '9' может перенаправить на страницу "sms.php" для перехвата одноразовых паролей (OTP), а код '81' - на "mfa.php". Дополнительно реализована функция «сердцебиения» (heartbeat), которая каждую секунду отправляет пинг на "action.php?type=ping". Этот механизм предоставляет злоумышленникам обратную связь о том, что пользователь активен и готов к следующему шагу манипуляции.

Данная кампания демонстрирует растущую изощренность киберпреступников, которые используют легитимные поисковые запросы для распространения вредоносных ресурсов. Эксперты по безопасности рекомендуют гражданам всегда проверять URL-адреса официальных правительственных порталов, не переходить по ссылкам из поисковой выдачи без дополнительной проверки и использовать двухфакторную аутентификацию для защиты финансовых операций. Органам власти и поисковым системам необходимо усилить мониторинг и оперативно блокировать подобные фишинговые ресурсы, чтобы предотвратить массовые утечки конфиденциальных данных.

IPv4

• 198.23.156.130

Domains

• my-traffic-ticket-portal.com
• my-traffic-tickets-portal.com
• search-portal-ticket.com
• search-ticket-portal.com
• ticket-portal-infraction.com
• ticket-portal-infractions.com
• ticket-portal-search.com
• ticket-portal-violation.com
• ticket-portal-violations.com
• ticket-search-portal.com
• ticket-search-violation.com
• ticket-search-violations.com