Les clients des banques canadiennes ont été ciblés par des cybercriminels dans le cadre d’une vaste campagne de phishing qui s’est déroulé depuis au moins deux ans, selon Check Point Research qui a découvert la campagne.
Comme pour beaucoup d’autres escroqueries de phishing financier, les attaquants usurpent le site web d’une banque connue, en créant une copie virtuelle de la page d’accueil et en utilisant un domaine ressemblant, qui ne diffère souvent du nom de domaine authentique que par une ou deux lettres.
Un lien vers le site frauduleux est ensuite envoyé dans le cadre d’une campagne de spam de masse à des adresses électroniques sur le domaine de premier niveau du pays où la banque opère. Ces emails invitent les utilisateurs à visiter le site web de la banque et à se connecter, généralement sous le couvert d’une alerte de sécurité.
Lorsque l’utilisateur clique sur le lien contenu dans le courriel, il est dirigé vers le site usurpé et peut ne pas remarquer que le nom de domaine n’est pas tout à fait correct. Il saisit alors ses identifiants de connexion qui sont capturés par les escrocs. Ces informations sont ensuite utilisées pour effectuer des virements électroniques frauduleux vers des comptes contrôlés par les pirates.
Dans le cadre de cette campagne, les emails comprennent une pièce jointe en format PDF. Les fichiers PDF ont tendance à être plus fiables que les documents Word et les feuilles de calcul, que les utilisateurs finaux ont généralement reçu pour instruction de traiter comme des documents suspects.
Le fichier PDF comprend un lien hypertexte que l’utilisateur est invité à cliquer. Comme l’hyperlien se trouve dans le document plutôt que dans le corps du message, il est moins susceptible d’être détecté par les solutions de sécurité des emails et a plus de chances d’être livré dans les boites de réceptions des victimes.
L’utilisateur est informé qu’il doit mettre à jour son certificat numérique pour continuer à utiliser le service bancaire en ligne. Le fichier PDF comprend le logo de la banque et un code de sécurité qu’il doit entrer lorsqu’il se connecte. Le code est inclus dans la pièce jointe du PDF plutôt que dans le corps du message pour des raisons de sécurité.
Comme pour la plupart des attaques de phishing, le message semble urgent. Le destinataire est informé que le code expire dans 2 jours et qu’il doit s’inscrire dans ce délai pour éviter de voir son compté bloqué.
Les pages d’atterrissage des sites web malveillants sont identiques à celles utilisées par les banques, car les attaquants ont simplement pris une capture d’écran de la page d’atterrissage de la banque légitime. Des zones de texte ont été ajoutées où le nom d’utilisateur, le mot de passe et le numéro de jeton doivent être saisis. Les utilisateurs sont ensuite invités à confirmer les détails qu’ils ont saisis pendant que les attaquants tentent d’accéder à leur compte en temps réel et d’effectuer un transfert frauduleux.
Ces tactiques ne sont pas nouvelles. Les escroqueries de ce type sont monnaie courante. Ce qui est surprenant, c’est la durée pendant laquelle la campagne n’a pas été détectée. Les escrocs ont pu opérer sans être détectés en enregistrant de nombreux domaines similaires qui sont utilisés pendant une courte période. Des centaines de domaines différents ont été enregistrés et utilisés dans l’arnaque. Au moins 14 grandes banques canadiennes ont vu leurs pages de connexion usurpées, dont TD Canada Trust, la Banque Scotia, la Banque royale du Canada et la BMO Banque de Montréal.
Tous les sites web utilisés dans l’escroquerie ont maintenant été démantelés, mais il est pratiquement garanti que d’autres domaines similaires seront enregistrés et que d’autres escroqueries seront menées.