Четырнадцать канадских банков, в том числе CIBC, TD Canada Trust, Scotiabank и Королевский банк Канады (Royal Bank of Canada, RBC), стали жертвой масштабной фишинговой кампании, которая продолжалась на протяжении двух лет.
Атака начиналась с отправки правдоподобных электронных писем с вложением в формате PDF с использованием официального логотипа банка и кода авторизации. Жертв обманом побуждали как можно быстрее обновить свой цифровой сертификат, чтобы они могли продолжать получать доступ к online-банкингу. Нажав на любой из URL-адресов, жертвы попадали на фишинговую страницу с просьбой ввести свои банковские учетные данные.
Как отметили исследователи из Check Point в своем отчете, в случае с RBC злоумышленники просто сделали снимок экрана официального сайта и добавили невидимые текстовые поля поверх полей ввода, чтобы собрать учетные данные жертвы.
По словам специалистов, существовало несколько вариантов PDF-вложений, с небольшими различиями между ними. Однако некоторые содержащиеся в них текстовые инструкции повторялись, использовали уникальные фразы и появлялись в более чем одном документе.
Фишинговый web-сайт, упоминавшийся во вложениях в формате PDF, был связан с украинским IP-адресом для нескольких доменов, имитирующих страницы банков.