最近，网络安全公司Check Point捕获了一波钓鱼电子邮件，并以此揭开了一场已持续两年之久、目标锁定加拿大银行客户的网络钓鱼活动。

钓鱼电子邮件分析

如你所见，钓鱼电子邮件的附件是一个PDF文档。

图1.伪装成来自加拿大皇家银行的（RBC）的钓鱼电子邮件

文档使用了RBC的logo，要求收件人为RBC express在线银行系统更新数字证书。

图2.PDF附件

一旦收件人点击了文档中的链接，就会被重定向到一个钓鱼页面，并被提示输入RBC Express凭证。

尽管钓鱼页面在外观上和RBC的官网页面完全一样，但攻击者似乎并没有花费太多的时间在页面克隆上。因为他们只是直接对RBC的官网页面进行了截图，然后在输入框的顶部添加了一个隐藏的文本框。

图3.网络钓鱼页面

收件人在输入凭证进行登录后，将被重定向到注册页面，并被要求输入通过钓鱼电子邮件收到的授权码：

图4.要求收件人输入授权码

输入之后，收件人就会看到一个正在处理的等待页面。

图5.等待页面

PDF附件分析

PDF附件有多个不同的版本，尽管它们之间略有不同，但所包含的一些文字说明是重复的，且使用了一些相同的措辞。

根据这些特征，Check Point公司找到了可追溯至2017年的相关PDF文档：

图6.早期的PDF文档

为了逃避检测，其中一些文档还受到了密码保护，而密码就写在了正文中：

图7.受密码保护的附件

一场已持续两年之久的钓鱼活动被揭开

查看解析出的IP地址，Check Point公司发现它还托管有很多旨在模仿RBC的域名。

图8.山寨域名

进一步调查发现，与之相关的IP地址还有很多，它们共同构成了一个用于发起网络钓鱼攻击的基础架构，旨在从加拿大银行客户手里骗走银行凭证。

图9.位于同一网域上的IP

图10.来自同一网域的网络钓鱼页面示例

通过对比，Check Point公司注意到2017年针对加拿大企业的网络钓鱼攻击的基础设施与此次活动的基础设施存在重叠，且共享WHOIS信息。

图11.早前的网络钓鱼基础架构

图12.共享的WHOIS信息

Check Point公司表示，他们一共分析了300多个相似的网域。从它们所托管的钓鱼网站来看，此次网络钓鱼活动至少锁定了如下企业的客户：

• 加拿大皇家银行
• 加拿大丰业银行
• 加拿大蒙特利尔银行
• Interac
• Tangerine银行
• Desjardins银行
• 加拿大帝国商业银行
• 加拿大TD Canada Trust银行
• Simplii Financial
• ATB金融
• 美国运通
• 罗杰斯通信
• 海岸资本储蓄
• 富国银行

由此可见，养成良好的电子邮件使用习惯是多么的重要。尤其提醒大家要警惕好奇害死猫，来路不明的电子邮件一定不要打开，特别是充满诱惑性的附件。