🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Inteligência do adversário

Pivotando a partir do PayTool: rastreando várias fraudes e crimes eletrônicos contra o Canadá

A investigação mais recente da CloudSEK expõe um ecossistema de fraudes em rápida evolução que visa canadenses por meio de uma representação altamente convincente de serviços governamentais e marcas nacionais confiáveis. De multas de trânsito falsas e reembolsos de impostos a reservas de companhias aéreas e alertas de entrega de pacotes, os atacantes estão escalando as operações usando infraestrutura compartilhada e modelos de phishing como serviço. O relatório revela como a urgência e a confiança institucional são transformadas em armas — e o que as organizações devem fazer para se manterem à frente.
January 27, 2026
7
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

Sumário executivo

À medida que os cidadãos canadenses dependem cada vez mais de serviços digitais para transporte, tributação, entrega de encomendas e viagens, os agentes de ameaças continuam explorando essa dependência implantando campanhas de falsificação de identidade altamente convincentes que imitam órgãos governamentais confiáveis e marcas nacionais. CloudSEK descobriu vários grupos de fraudes interconectados que abusam de temas de fiscalização de multas de trânsito, narrativas de restituição de impostos, portais de reservas de companhias aéreas e alertas de entrega postal para coletar informações pessoais e financeiras em grande escala.

Uma parte significativa da atividade está alinhada com o”Ferramenta de pagamento” ecossistema de phishing, uma estrutura de fraude conhecida especializada em fraudes de violação de trânsito e pagamento de multas contra canadenses por meio de engenharia social baseada em SMS.

Paralelamente, uma infraestrutura adicional foi observada se passando pela Agência de Receitas do Canadá (CRA), Air Canada e Canada Post, indicando uma operação de fraude mais ampla que reutiliza padrões de design comuns. Além disso, a investigação descobriu que agentes de ameaças comercializavam ativamente essas campanhas em fóruns clandestinos, vendendo kits especializados de phishing projetados para imitar serviços oficiais do governo e portais bancários.

Modus Operandi

As vítimas são vistas principalmente atraídas por mensagens SMS e anúncios maliciosos. As mensagens utilizam táticas de alta pressão alegando multas não pagas, falhas na entrega ou erros de reserva para se passar por órgãos autorizados como PayBC, CRA, Canada Post e Air Canada. O uso de encurtadores de URL ou domínios digitados adiciona uma camada de legitimidade percebida.

Ao clicar, os dados não são solicitados imediatamente às vítimas. Em vez disso, eles passam por uma fase de “validação falsa”. Esse estágio normalmente solicita entradas como números de ingressos, referências de reserva ou identificadores de conta. No entanto, esses campos aceitam praticamente qualquer valor e não realizam nenhuma verificação real. Seu único objetivo é criar uma ilusão de autenticidade e preparar psicologicamente a vítima, fazendo com que a interação pareça oficial e processual.

Após essa etapa de criação de confiança, o site faz a transição para um gateway de pagamento fraudulento. Essas páginas imitam de perto processadores de pagamento legítimos, mas, na realidade, elas são projetadas para coletar informações de identificação pessoal (PII) e dados financeiros.

Página da web falsa que se faz passar por Portal de Pesquisa de Bilhetes de Trânsito

Análise da infraestrutura e campanhas observadas

O tema central observado em vários grupos nesta campanha é a personificação dos serviços de fiscalização de trânsito e pagamento de multas do governo canadense. Essa atividade está fortemente alinhada com o ecossistema “PayTool” previamente documentado, que se concentra em multas de trânsito provinciais e violações de estacionamento, ao mesmo tempo em que se expande para um estilo federal mais amplo”Portal de busca de multas de trânsito” modelo que agrega várias províncias em uma única interface.

Diferentemente dos sites simples de phishing de página única, essa infraestrutura foi projetada para simular um serviço governamental centralizado. As vítimas recebem o que parece ser um portal oficial do “Governo do Canadá”, onde podem selecionar sua província (Alberta, Colúmbia Britânica, Ontário, Quebec, Manitoba, Saskatchewan etc.) para pesquisar infrações de trânsito pendentes. Isso reflete como os serviços federais canadenses legítimos fornecem pontos de entrada para os sistemas provinciais, fortalecendo significativamente a ilusão de autenticidade.

Na análise, encontramos mais de 70 sites que estavam resolvendo para o endereço IP 198 [.] 23 [.] 156 [.] 130 se passando por legítimos canadá.ca A inclusão de logotipos provinciais e um banner “Portal de busca de multas de trânsito — Governo do Canadá” estabelece confiança institucional antes que qualquer dado seja solicitado.

Resultados mostrando vários domínios do Canada.ca se passando por “Traffic Tickets Search Portal” hospedados em infraestrutura compartilhada

Do ponto de vista operacional, essa estrutura serve a três propósitos principais:

  • Centralização de confiança: Ao posicionar a página como um serviço de nível federal, os invasores reduzem as suspeitas. As vítimas são condicionadas a acreditar que estão interagindo com uma plataforma governamental nacional legítima, em vez de um site independente.
  • Escalabilidade em todas as províncias: Um único modelo pode ser reutilizado em várias províncias, permitindo que os agentes de ameaças implementem rapidamente fraudes localizadas sem reconstruir a infraestrutura de cada região.

Esse fluxo de trabalho reflete portais legítimos de fiscalização de tráfego provinciais, como PayBC e ServiceOntario, tornando-o consistente com os padrões de ataque conhecidos do PayTool.

Observações de padrões de domínio

Os domínios associados a esse cluster exibem convenções de nomenclatura altamente sistemáticas centradas em:

  • “bilhete”
  • “tráfego”
  • “portal”
  • “pesquisar”
  • “violação”
  • “infração”
  • “ofensa”
  • “citação”

Esses padrões de nomenclatura indicam automação e geração em massa, em vez de criação orgânica de domínios. A repetição de termos reforça a narrativa de legitimidade ao combinar as palavras-chave que os usuários esperam ao lidar com serviços oficiais de violação de trânsito.

Alinhamento PayTool

Essa atividade é uma extensão conceitual direta do grupo PayTool, que tradicionalmente se faz passar por portais provinciais de pagamento de multas (PayBC, ServiceOntario, páginas de pagamento de estacionamento). Essa campanha expande esse modelo introduzindo uma camada de entrada de estilo federal, simulando a infraestrutura do Canada.ca antes de encaminhar os usuários para portais com temas provinciais.

Os kits de phishing de pagamento reais (onde ocorre o roubo financeiro) são hospedados em um bloco de infraestrutura distinto. A análise passiva do DNS revela uma alta concentração de atividade na sub-rede 45.156.87.0/24, visando especificamente os serviços provinciais canadenses.

Principais relações de IP:

  • 45 [.] 156 [.] 87 [.] 145
  • 45 [.] 156 [.] 87 [.] 131
  • 45 [.] 156 [.] 87 [.] 143
  • 45 [.] 156 [.] 87 [.] 213
O nó central 45.156.87.145 exibe uma relação de alta densidade com vários domínios de phishing provinciais

A infraestrutura permite a segmentação simultânea em diferentes jurisdições usando o mesmo provedor de hospedagem. Com base nos dados de relação de domínio, descobrimos vários domínios de phishing de diferentes províncias:

  • Colúmbia Britânica (PayBC): paytool-bc-2025 [.] com, bc-infraction [.] com, paybc-portal [.] ao vivo
  • Ontário (Service Ontario): ontarioticketpay [.] ao vivo, ontario-paytool-2025 [.] com, serviceon-ticket [.] ao vivo
  • Quebeque/Montreal: ville-montreal-pay [.] com, amende-enligne-qc [.] com, a25pont-laval [.] com (personificação de ponte com pedágio)

Além das falsificações diretas do governo, os dados de relação de 162 [.] 243 [.] 100 [.] 252 e da sub-rede 45.156.87.x expõem uma “longa cauda” de domínios genéricos de infração, como parking-portal [.] live e overdueticketinfraction [.] info.

Isso indica que o agente de ameaças PayTool mantém um pool de domínios genéricos alternativos. Quando domínios provinciais específicos (como o paybc-portal) são inevitavelmente sinalizados ou colocados na lista negra pelos fornecedores de navegadores, o ator pode imediatamente direcionar o tráfego para esses sites genéricos de “infração” para manter a continuidade da campanha.

Phishing de encomendas e reentrega dos correios do Canadá

Uma análise mais aprofundada da infraestrutura revelou um subconjunto de domínios que imitam o Canada Post. Embora esses domínios específicos estivessem inativos durante a investigação, dados passivos de DNS e sinais de reputação sugerem fortemente uma campanha focada em fraudes de entrega de pacotes.

As convenções de nomenclatura utilizam fortemente palavras-chave associadas a narrativas de “falha na entrega”:

  • reentregar
  • manuseio
  • encomenda
  • canpost//capost

Embora os domínios estivessem off-line, seu agrupamento em torno do mesmo provedor de hospedagem se alinha à infraestrutura mais ampla de “PayTool” e de fraude de ingressos. Isso indica um padrão consistente de exploração da confiança da marca usando domínios descartáveis para criar uma ampla rede de vítimas.

Falsificação de identidade e digitação da Air Canada

Um ramo distinto desta campanha tem como alvo o setor de viagens por meio da representação da Air Canada. Ao contrário dos golpes de multas e correios, que dependem muito do SMS (Smishing), esse cluster parece impulsionado por Envenenamento por SEO e digitação.

Os padrões de domínio observados incluem:

  • aircanda-booking [.] com (Omissão de personagem)
  • air-canaada-booking [.] com (Duplicação de caracteres)
  • airscanada-booking [.] com (substituição de caracteres)
Captura de tela da página de destino falsificada da Air Canada

O objetivo é interceptar usuários que digitam incorretamente o domínio legítimo ou clicam em anúncios maliciosos de mecanismos de pesquisa. Além disso, as consultas FOFA identificaram vários servidores hospedando esses domínios usando:

  • Hashes de Favicon idênticos que correspondem ao site oficial da Air Canada.
  • Títulos de páginas replicados.

Resultados da pesquisa FOFA mostrando o cluster de clones da Air Canada

Isso confirma a clonagem deliberada de ativos de marca legítimos, em vez de uma imitação superficial. Os atacantes provavelmente aproveitam a fraude aérea porque:

  • Os usuários esperam inserir os detalhes de pagamento das reservas.
  • As taxas de modificação e bagagem fornecem um pretexto natural para cobranças.
  • Os prazos de viagem reduzem o ceticismo das vítimas.

Essa expansão demonstra que os atores da ameaça não estão limitados à personificação de serviços governamentais; eles estão efetivamente diversificando suas metas para explorar setores comerciais onde a urgência financeira é comum.

Relacionamento com a atividade de fóruns subterrâneos

Informações coletadas em vários fóruns de crimes cibernéticos na dark web confirmam que a proliferação dessas campanhas localizadas está sendo impulsionada por um modelo de “Phishing como serviço” (PHaaS). Nossa análise identificou um agente de ameaças operando sob o pseudônimo 'theghostorder01', vendendo ativamente um kit de phishing especializado projetado para imitar o processo de renovação da carteira de motorista de Ontário em vários fóruns da dark web.

Ator de ameaças listando a página fraudulenta de Ontário no DarkForums, fonte: GTI CloudSEK 

O anúncio destaca a capacidade do kit de coletar pontos de dados de alto valor, incluindo:

  • Informações pessoais (PII): nome completo, endereço e detalhes da licença.
  • Credenciais bancárias: visando especificamente os logins do Interac e-Transfer para facilitar a aquisição imediata de contas.
  • Dados de pagamento: números de cartão de crédito e códigos CVV.
Captura de tela compartilhada pelo agente ameaçador se passando pela página da carteira de motorista de Ontário, alegando que há 14 páginas bancárias envolvidas.

O ator facilita as vendas e o suporte por meio de diferentes canais de telegrama. Para validar essas alegações, uma de nossas fontes se envolveu com o agente da ameaça. Durante a interação, o vendedor não conseguiu demonstrar nenhum tratamento de dados do lado do servidor ou infraestrutura hospedada. Além disso, quando questionado sobre como os dados da vítima seriam capturados e entregues, o ator deu respostas vagas, afirmando que os resultados seriam enviados por e-mail ou plataformas de mensagens.

Embora o tratamento dos dados extraídos seja de responsabilidade do comprador na maioria dos casos, a barreira de configurar a infraestrutura de back-end diminuiu significativamente. Agora, os agentes de ameaças podem usar as ferramentas Gen AI para criar um script rápido da lógica de back-end para processar os dados das vítimas. Além disso, em vez de um banco de dados complexo do lado do servidor, os dados da vítima podem ser obtidos via API e enviados diretamente para os bots e plataformas de mensagens em tempo real, uma funcionalidade que requer habilidade técnica mínima para ser implementada.

Threat Actor Profiling
Active since2024
Reputation0
Current StatusACTIVE
History The threat actor has been active for at least two years and operates under the same username across multiple underground forums. Recent leaks revealed the email theghostorder01@gmail.com. The activity mainly advertising and selling custom phishing (“scampage”) source code targeting banks, cryptocurrency platforms, webmail providers, government services, and e-commerce brands majorly targeting UK, Canada, Australia and United States.
RatingMedium
Payment MethodsUSDT (TRC-20), Bitcoin (BTC)
Crypto Assets (USDT)TWNCawkk3NbPZsY6mdnog8Sn7rS2vue95d
Crypto Assets (Bitcoin)bc1qvhxkqujf347apsgy65ffykste0jy6txhgejhm048ukrys7cm6d3q2v4ze7

Avaliação de impacto e risco

  • Compromisso de dados em massa: comprometimento em grande escala de PII e dados financeiros, incluindo detalhes de cartão de crédito e credenciais de transferência eletrônica da Interac, permitindo a aquisição de contas e fraudes financeiras diretas.
  • Erosão da confiança pública: Aumento da erosão da confiança das vítimas nos serviços legítimos do governo canadense e de marcas nacionais (CRA, Canada Post, Air Canada, PayBC, ServiceOntario).
  • Diversificação setorial: Expansão da superfície de ataque por meio da diversificação em vários setores (serviços governamentais, entrega postal e companhias aéreas), o que aumenta a exposição geral à fraude.
  • Risco de reputação: potencial risco regulatório e de reputação para organizações cujas marcas e infraestrutura são abusadas nessas campanhas de phishing de alta fidelidade.

Mitigação

  • Aplique o monitoramento proativo do domínio para domínios digitados e baseados em palavras-chave (por exemplo, tíquete, portal, infração, reserva, pacote) e inicie procedimentos rápidos de remoção.
  • Implemente controles de DNS e gateway da web para bloquear domínios recém-registrados, TLDs suspeitos (.live, .info) e intervalos de IP conhecidos relacionados ao PayTool.
  • Fortaleça as campanhas de conscientização pública, enfatizando que agências governamentais e companhias aéreas canadenses não solicitam pagamentos ou dados confidenciais por meio de links de SMS.
  • Implemente detecções baseadas em inteligência de ameaças para identificar padrões de hospedagem compartilhada, hashes de favicon e reutilização de títulos de páginas em toda a infraestrutura de phishing.
  • Incentive os usuários a acessar os serviços somente por meio de portais oficiais marcados como favoritos (por exemplo, canada.ca, PayBC, ServiceOntario, aircanada.com) em vez de links em mensagens ou anúncios.

Conclusão

Esta investigação destaca uma evolução significativa nas campanhas de phishing direcionadas ao público canadense. Indo além das iscas genéricas de “restituição de impostos”, os agentes de ameaças agora estão aproveitando temas altamente localizados e contextuais, que vão desde multas por excesso de velocidade da PayBC e renovações do ServiceOntario até modificações nas reservas da Air Canada.

A descoberta de desenvolvedores de kits de phishing na dark web confirma que essa é uma operação comoditizada, garantindo um fornecimento constante de novos domínios e modelos atualizados.

Como esses ataques dependem fortemente da urgência (multas não pagas) e da confiança (marca governamental), as organizações e os usuários devem permanecer vigilantes contra domínios que utilizam TLDs irregulares (por exemplo, .live, .info) e verificar os links diretamente por meio dos portais oficiais das províncias.

Indicators of Compromise (IoCs) — Domains

Domain Registrar Creation Date Updated Date Expiration Date
justice-ticket-portal[.]comMAT BAO CORPORATION2025-12-142025-12-142026-12-14
paybc-portal[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-07-192025-07-192026-07-19
bc-account[.]comPDR Ltd. d/b/a PublicDomainRegistry.com2024-05-202024-05-202025-05-20
paytool-bc-2025[.]comHosting Concepts B.V. d/b/a Registrar.eu2025-07-142025-07-242026-07-14
paybconline-ticket[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-06-292025-11-242026-06-29
bc-infraction[.]comNICENIC INTERNATIONAL GROUP CO., LIMITED2025-10-192025-10-272026-10-19
vancouver-infraction[.]comNICENIC INTERNATIONAL GROUP CO., LIMITED2025-10-202025-10-222026-10-20
ontarioticketpay[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-07-092025-11-242026-07-09
ontario-paytool-2025[.]comHosting Concepts B.V. d/b/a Registrar.eu2025-07-092025-07-272026-07-09
serviceon-ticket[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-06-292025-07-042026-06-29
overdueticketinfraction[.]infoNameSilo, LLC2025-08-072025-10-212026-08-07
ville-montreal-pay[.]comHosting Concepts B.V. d/b/a Registrar.eu2025-07-062025-07-242026-07-06
amende-enligne-qc[.]comHosting Concepts B.V. d/b/a Registrar.eu2025-07-052025-07-242026-07-05
ville-montreal-ticket[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-06-222025-11-242026-06-22
a25pont-laval[.]comNICENIC INTERNATIONAL GROUP CO., LIMITED2025-10-212025-10-242026-10-21
paytool-ab-2025[.]comHosting Concepts B.V. d/b/a Registrar.eu2025-07-142025-07-242026-07-14
serviceab-ticket[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-06-292025-07-112026-06-29
ab-speed[.]comNICENIC INTERNATIONAL GROUP CO., LIMITED2025-10-162025-10-202026-10-16
abmarketworks[.]comDYNADOT LLC2003-05-182025-06-272026-05-18
outel[.]abmarketworks[.]comDynadot Inc2003-05-182025-06-272026-05-18
parking-portal[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-07-092025-07-142026-07-09
unpaid-ticket-ca[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-06-262025-11-242026-06-26
parking-fines[.]comOwnRegistrar, Inc.2025-12-162025-12-202026-12-16
speedfines[.]comOwnRegistrar, Inc.2025-12-082025-12-152026-12-08
paytoll-canada[.]comTUCOWS DOMAINS, INC.2025-07-032025-07-092026-07-03
quickplate-check[.]comOwnRegistrar, Inc.2025-06-292025-06-292026-06-29
ticket-search-portal[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
search-ticket-portal[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
ticket-search-violation[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
ticket-search-violations[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
ticket-portal-search[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
search-portal-ticket[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
ticket-portal-infractions[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
ticket-portal-infraction[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
ticket-portal-violations[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
ticket-portal-violation[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
my-traffic-ticket-portal[.]comGlobal Domain Group LLC2025-09-232025-12-122026-09-23
my-traffic-tickets-portal[.]comGlobal Domain Group LLC2025-10-222025-10-302026-10-22
my-traffics-citations[.]comDominet (HK) Limited2025-10-282025-11-042026-10-28
my-traffics-citation[.]comDominet (HK) Limited2025-10-282025-11-042026-10-28
my-traffic-citations[.]comDominet (HK) Limited2025-10-282025-11-042026-10-28
my-traffic-citation[.]comDominet (HK) Limited2025-10-282025-11-042026-10-28
my-traffic-violations[.]comGlobal Domain Group LLC2025-10-232025-10-302026-10-23
my-traffic-violation[.]comDominet (HK) Limited2025-10-222025-11-022026-10-22
my-traffic-offence[.]comGlobal Domain Group LLC2025-10-242025-10-302026-10-24
postcan-track-elment[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-06-182025-11-242026-06-18
handlingpostecan1[.]comPDR Ltd. d/b/a PublicDomainRegistry.com2025-07-242025-09-072026-07-24
www[.]handlingpostecan1[.]comPDR Ltd. d/b/a PublicDomainRegistry.com2025-07-242025-09-072026-07-24
redeliverparcel[.]infoPDR Ltd. d/b/a PublicDomainRegistry.com2025-09-182025-09-272026-09-18
capost[.]redeliverparcel[.]info-2025-09-182025-09-182025-09-16
handlingxpress[.]infoPDR Ltd. d/b/a PublicDomainRegistry.com2025-09-132025-09-182026-09-13
capost[.]handlingxpress[.]info-2025-09-132025-09-132026-09-13
handlingparcel[.]infoNameSilo, LLC2025-09-072025-10-212026-09-07
canpost[.]handlingparcel[.]info-2025-09-072025-09-072026-09-07
aircanda-booking[.]comNAMECHEAP INC2025-08-062025-08-062026-08-06
air-canaada-booking[.]comNAMECHEAP INC2025-11-032025-11-042026-11-03
airscanada-booking[.]comNAMECHEAP INC2025-11-032025-11-042026-11-03

Endereços IP

45,156,87,145

45,156,87,131

45,156,87,143

45,156,87,213

198,23.156,130

162,243,100,252

192,109,138,183

209,141,50,110

3,99,171,190

15,223,72,181

35,183,85,238

3,97,15,116

35,183,132,238

35,182,194,55

3,96,139,96

15,156,206,92

3,97,9,55

99,79,60,130

Referências:

Jainam Shah
Cyber threat researcher focusing on tracking APT campaigns, OSINT and threat hunting.
Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Inteligência do adversário
September 23, 2021
min
The Unabated Reign of ATM Hacking: The 2021 Rajasthan ATM Attack and the Proliferation of Novel ATM Hacking Tools and Techniques
Leia mais