Les clients des banques canadiennes ont été ciblés par des cybercriminels dans le cadre d’une vaste campagne de phishing qui se poursuit depuis au moins deux ans, selon Check Point Research qui a découvert la campagne.
Comme pour beaucoup d’autres escroqueries par phishing financier, les attaquants utilisent le nom de domaine d’un site web d’une banque connue pour créer une copie malveillante de sa page d’accueil. Le nom de domaine malveillant ne diffère souvent de celui du site authentique de la banque légitime que par une ou deux lettres.
Un lien vers le site frauduleux est ensuite envoyé dans le cadre d’une campagne de spamming de masse aux adresses email sur le domaine de premier niveau du pays spécifique où la banque opère.
Ces emails invitent les utilisateurs à visiter le site web de la banque et à se connecter, généralement sous le couvert d’une alerte de sécurité. Lorsque l’utilisateur clique sur le lien contenu dans l’email, il est dirigé vers le site usurpé et il risque de ne pas remarquer que le nom de domaine n’est pas tout à fait correct.
Il saisit alors ses identifiants de connexion qui sont capturés par les escrocs. Ces informations sont ensuite utilisées pour effectuer des virements électroniques frauduleux vers des comptes contrôlés par les pirates.
Dans le cadre de cette campagne, les emails comprennent une pièce jointe en format PDF. Les fichiers PDF ont tendance à être plus fiables que les documents Word et les feuilles de calcul. En effet, les utilisateurs finaux ont généralement reçu pour instruction de traiter les documents Word et Excel comme des documents suspects.
Le fichier PDF comprend un lien hypertexte que l’utilisateur est invité à cliquer. Comme l’hyperlien se trouve dans le document plutôt que dans le corps du message, il est moins susceptible d’être scanné par les solutions de sécurité de la messagerie et a plus de chances d’être livré dans les boites de réception des utilisateurs finaux.
L’utilisateur est informé qu’il doit mettre à jour son certificat numérique pour continuer à utiliser le service bancaire en ligne. Le fichier PDF comprend le logo de la banque et un code de sécurité que l’utilisateur doit entrer lorsqu’il se connecte. Le code est inclus dans le PDF, plutôt que dans le corps du message.
Comme pour la plupart des escroqueries de phishing, les pirates mettent en avant l’urgence du message. Le destinataire est informé que le code expire dans 2 jours et qu’il doit s’inscrire dans ce délai pour éviter de voir son compte bloqué.
La page d’atterrissage du site web est identique à celle utilisée par la banque, car les attaquants ont simplement pris une capture d’écran de sa page d’atterrissage légitime. Pourtant, ils ont également ajouté des zones de texte où le nom d’utilisateur, le mot de passe et le numéro jeton électronique doivent être saisis. Les utilisateurs sont ensuite invités à confirmer les détails qu’ils ont saisis. Pendant ce temps, les attaquants tentent d’accéder à leur compte en temps réel et d’effectuer un transfert frauduleux.
Les escroqueries de ce type sont monnaie courante. Ce qui est surprenant, c’est la durée pendant laquelle la campagne visant les clients des banques canadiennes n’a pas été détectée. Les escrocs ont pu opérer sans être détectés et ont pu créer de nombreux domaines similaires qui ont été utilisés pendant une courte période.
En réalité, des centaines de domaines différents ont été créés et utilisés lors de cette arnaque. Au moins 14 grandes banques canadiennes ont vu leurs pages de connexion usurpées, dont TD Canada Trust, la Banque Scotia, la Banque royale du Canada et la BMO Banque de Montréal.
Tous les sites web utilisés dans l’escroquerie ont maintenant été démantelés, mais il est pratiquement certain que d’autres domaines similaires seront enregistrés et que d’autres escroqueries seront encore menées par d’autres pirates.