カナダ国民は、税金、旅行、荷物、交通違反の罰金などでデジタルサービスへの依存が高まる中、攻撃者がそれを悪用することでフィッシング脅威の増大に直面している。
研究者は、カナダ歳入庁(CRA)、カナダポスト、エア・カナダ、PayBCといった政府系サイトを模倣する相互に連結した詐欺ネットワークを突き止めた。
これらのキャンペーンは大規模に個人データと認証情報を収集し、悪名高いPayToolのフィッシング・エコシステムと結び付いている。
詐欺は、未払いの罰金、配達失敗、予約エラーなどを主張するSMSの誘導文や悪意ある広告を展開する。被害者は短縮URLやタイプスクワットされたドメインをクリックし、偽のポータルへ誘導される。
サイトはまず「検証」フェーズを実行し、チケット番号や予約IDの入力を求めるが、どんな入力でも受け付ける。
これにより信頼を築いたうえで、個人識別情報(PII)、クレジットカード情報、Interac e-Transferのログイン情報を盗む偽の決済ゲートウェイへ移行する。
CloudSEKによると、中核となる活動は交通違反切符詐欺を中心に展開されており、PayToolの手口を拡張している。
攻撃者は「交通違反切符検索ポータル – カナダ政府」を装い、ユーザーにブリティッシュコロンビア州、オンタリオ州、ケベック州などの州を選ばせる。
70以上のドメインがIP 198.23.156.130に解決され、信頼性を高めるため州のロゴを添えてcanada.caを複製していた。
この連邦政府を装った外観は信頼を集約し、地域をまたいで拡大し、PayBCやServiceOntarioのような実在のポータルを模倣する。
ドメインは「ticket」「traffic」「portal」「violation」といったパターンに従っており、自動生成が示唆される。
決済キットは45.156.87.0/24サブネットに集中しており、例えば45.156.87.145ではBCのpaytool-bc-2025.comやオンタリオ州のontarioticketpay.liveがホストされている。
parking-portal.liveのような汎用的な代替先により、ブラックリスト登録後も継続性が確保される。
キャンペーンは郵便詐欺や旅行詐欺にも分岐している。カナダポストの複製サイトは、postcan-track-elment.liveやhandlingpostecan1.comといったドメインを通じて「再配達」通知を押し出す。
aircanda-booking.comのようなエア・カナダのタイプスクワットは、ファビコンやタイトルを複製し、入力ミスした検索や汚染された広告を狙う。手荷物料金などの口実で緊急の支払いを促す。
ダークウェブのアクター「theghostorder01」は、オンタリオ州の運転免許の更新を模倣するキットを販売し、14ページにわたり銀行情報を収集する。
2024年から活動しており、Telegram経由でコードを売り、USDT(TWNCawkk3NbPZsY6mdnog8Sn7rS2vue95d)とBTC(bc1qvhxkqujf347apsgy65ffykste0jy6txhgejhm048ukrys7cm6d3q2v4ze7)を受け付ける。購入者は単純なAPIでデータを扱い、複雑なサーバーを回避する。
完全なIOCリストには.live/.comのTLDを持つ50以上のドメインが含まれ、緊急性の高いテーマに焦点を当てている。
これらの作戦は、大規模なPII漏えい、アカウント乗っ取り、公式サービスへの信頼低下を招く恐れがある。政府、郵便、航空会社へと多角化し、露出を増幅させている。
「ticket」や「infraction」といったキーワードでのドメイン監視で防御せよ。DNSファイアウォールでPayToolのIP(45.156.87.0/24、198.23.156.130)をブロックする。
啓発活動を実施すること:公式機関はSMSの支払いリンクを送らない。canada.ca、PayBC、aircanada.comをブックマークし、直接アクセスで確認する。
脅威インテリジェンスは、共有ホスティング、ファビコンの一致、タイトルの使い回しを警告する。迅速なテイクダウンがローテーションを抑制する。
フィッシングキットが商品化される中、カナダ国民はSMSの緊急性の煽りや不審なTLDを精査しなければならない。警戒が、乗っ取られたデジタルゲートウェイから数百万人を守る。
翻訳元: https://cyberpress.org/hackers-hijack-canadian-digital-services/