最近，網絡安全公司Check Point捕獲了一波釣魚電子郵件，并以此揭開了一場已持續兩年之久、目標鎖定加拿大銀行客戶的網絡釣魚活動。

釣魚電子郵件分析

如你所見，釣魚電子郵件的附件是一個PDF文檔。

圖1.偽裝成來自加拿大皇家銀行的（RBC）的釣魚電子郵件

文檔使用了RBC的logo，要求收件人為RBC express在線銀行系統更新數字證書。

圖2.PDF附件

一旦收件人點擊了文檔中的鏈接，就會被重定向到一個釣魚頁面，并被提示輸入RBC Express憑證。

盡管釣魚頁面在外觀上和RBC的官網頁面完全一樣，但攻擊者似乎并沒有花費太多的時間在頁面克隆上。因為他們只是直接對RBC的官網頁面進行了截圖，然后在輸入框的頂部添加了一個隱藏的文本框。

圖3.網絡釣魚頁面

收件人在輸入憑證進行登錄后，將被重定向到注冊頁面，并被要求輸入通過釣魚電子郵件收到的授權碼：

圖4.要求收件人輸入授權碼

輸入之后，收件人就會看到一個正在處理的等待頁面。

圖5.等待頁面

PDF附件分析

PDF附件有多個不同的版本，盡管它們之間略有不同，但所包含的一些文字說明是重復的，且使用了一些相同的措辭。

根據這些特征，Check Point公司找到了可追溯至2017年的相關PDF文檔：

圖6.早期的PDF文檔

為了逃避檢測，其中一些文檔還受到了密碼保護，而密碼就寫在了正文中：

圖7.受密碼保護的附件

一場已持續兩年之久的釣魚活動被揭開

查看解析出的IP地址，Check Point公司發現它還托管有很多旨在模仿RBC的域名。

圖8.山寨域名

進一步調查發現，與之相關的IP地址還有很多，它們共同構成了一個用于發起網絡釣魚攻擊的基礎架構，旨在從加拿大銀行客戶手里騙走銀行憑證。

圖9.位于同一網域上的IP

圖10.來自同一網域的網絡釣魚頁面示例

通過對比，Check Point公司注意到2017年針對加拿大企業的網絡釣魚攻擊的基礎設施與此次活動的基礎設施存在重疊，且共享WHOIS信息。

圖11.早前的網絡釣魚基礎架構

圖12.共享的WHOIS信息

Check Point公司表示，他們一共分析了300多個相似的網域。從它們所托管的釣魚網站來看，此次網絡釣魚活動至少鎖定了如下企業的客戶：

• 加拿大皇家銀行
• 加拿大豐業銀行
• 加拿大蒙特利爾銀行
• Interac
• Tangerine銀行
• Desjardins銀行
• 加拿大帝國商業銀行
• 加拿大TD Canada Trust銀行
• Simplii Financial
• ATB金融
• 美國運通
• 羅杰斯通信
• 海岸資本儲蓄
• 富國銀行

由此可見，養成良好的電子郵件使用習慣是多么的重要。尤其提醒大家要警惕好奇害死貓，來路不明的電子郵件一定不要打開，特別是充滿誘惑性的附件。