カナダ国民は、政府機関のなりすましとブランドの偽装を利用して、個人情報および金融データを大規模に収集する組織的なフィッシングキャンペーンに直面しています。
このキャンペーンは、SMSを通じてカナダ人を標的にした交通違反詐欺を専門とする、既知のフィッシング・アズ・ア・サービス(PhaaS)エコシステム「PayTool」と強く結び付いています。
交通違反の罰金にとどまらず、脅威アクターはカナダ歳入庁(CRA)、エア・カナダ、カナダ郵便になりすましており、共通のデザインテンプレートとインフラを再利用する、より広範で組織的な作戦であることを示しています。
被害者にはSMSメッセージや悪意ある広告が届き、未払いの罰金、配達失敗、予約エラーなどを用いた強い圧力の手口で誘導されます。URLには短縮URLやタイプスクワッティングされたドメインが使われ、正規のものに見せかけています。
クリックすると、ユーザーは「偽の検証」段階に誘導され、違反切符番号や予約参照番号の入力を求められますが、どのような値でも受け付け、実際の検証は行われません。
CloudSEKのセキュリティ研究者は特定したところ、交通取締り、税還付、航空券予約、荷物配送サービスを悪用する複数の詐欺クラスターが確認されました。いずれも、カナダ人が日常的にオンラインで機微情報をやり取りする分野です。
さらに詳しく
エシカルハッキング認定資格
データ侵害対策
サイバーセキュリティ
サイバーセキュリティニュースプラットフォーム
サイバーセキュリティ研修コース
パスワードマネージャー
ネットワークセキュリティアプライアンス
サイバーセキュリティ
VPNサービス
コンピュータセキュリティ
この信頼を築く段階の後に、個人を特定できる情報(PII)、銀行の認証情報、決済データを収集することを目的とした不正な決済ゲートウェイが続きます。
巧妙さは複雑さではなく心理操作にあり、被害者は自分が公式サービスとやり取りしていると信じ込まされます。
インフラ分析
70以上のWebサイトがIPアドレス198.23.156.130に解決され、canada.caになりすまして「交通違反切符検索ポータル – カナダ政府」を装っていました。
この連邦レベルの体裁により被害者の警戒心が下がる一方、州をまたいだ迅速なスケール拡大が可能になります。ドメインのパターンには体系的な命名規則(ticket、traffic、portal、search、violation、infraction)が見られ、自然発生的な作成ではなく一括自動化を示唆しています。
| 州 | 確認されたドメイン |
|---|---|
| ブリティッシュコロンビア | paytool-bc-2025[.]com, bc-infraction[.]com |
| オンタリオ | ontarioticketpay[.]live, ontario-paytool-2025[.]com |
| ケベック | ville-montreal-pay[.]com, amende-enligne-qc[.]com |
45.156.87.0/24のサブネットには決済フィッシング用インフラがホストされており、主要ノードは45.156.87.145、45.156.87.131、45.156.87.143です。
特定の州ドメインがブラックリスト化されると、脅威アクターは汎用のフォールバックドメイン(parking-portal[.]live、overdueticketinfraction[.]info)へトラフィックを切り替え、キャンペーンの継続性を維持します。
さらに詳しく
最高のスマートフォン
インシデント対応計画
エクスプロイト緩和ソリューション
エクスプロイト
セキュリティ意識向上トレーニング
災害復旧ソリューション
コンピュータセキュリティ
データ侵害対策
サイバーセキュリティ
サイバーセキュリティ
エア・カナダのなりすましでは、文字の欠落(aircanda-booking[.]com)、重複、置換によるタイプスクワッティングと、SEOポイズニングが悪用されています。
これらのサイトは、正規のエア・カナダのインフラからfaviconのハッシュやページタイトルを複製し、ドメインを打ち間違えたユーザーや悪意ある広告をクリックしたユーザーを捕捉します。
対策
脅威アクター「theghostorder01」は、ダークウェブのフォーラムでフィッシングキットを積極的に販売しており、氏名、住所、銀行の認証情報、Interac e-Transferのログイン情報を収集できると宣伝しています。
やり取りの中で、販売者はサーバー側のデータ処理やホストされたインフラを示すことができませんでした。
このアクターはTelegramチャンネルを通じて販売を仲介し、USDT(TRC-20)およびビットコインでの支払いを受け付けています。
データ取得インフラについて質問すると、販売者はメール送信に関する曖昧な回答をしました。
さらに詳しく
エクスプロイト
拡張機能
アンチウイルスソフトのサブスクリプション
ダークウェブ監視サービス
セキュリティ意識向上トレーニング
悪用
エシカルハッキング認定資格
クラウドセキュリティソリューション
情報セキュリティリソース
インフォセック
これは、販売者側の技術的洗練度が低いことを示唆しており、購入者が生成系AIツールを用いてバックエンドのロジックをスクリプト化し、API経由でリアルタイムにデータを流出させている可能性があります。これは最小限の技術スキルで実現できる能力です。
組織は、キーワードベースのタイプスクワッティングに対する能動的なドメイン監視を徹底し、迅速なテイクダウンを開始する必要があります。
DNSおよびWebゲートウェイは、疑わしいTLD(.live、.info)や既知のPayToolのIPレンジをブロックすべきです。啓発キャンペーンでは、政府機関や航空会社がSMSリンクを通じて機微情報を要求することはない点を強調すべきです。
ユーザーは、メッセージや広告内のリンクではなく、公式サイトをブックマークしたポータルからのみサービスにアクセスするべきです。
翻訳元: https://gbhackers.com/canadians-dependence/
