Documenten die bij een phishingaanval op de Amerikaanse journalist David Satter werden gestolen zijn aangepast voordat ze op internet werden gelekt. Dat stellen onderzoekers van het Canadese Citizen Lab. Satter, een criticus van de Russische regering, werd eind 2016 het doelwit van een phishingaanval.

Aanvallers stuurden twee e-mails die van Google afkomstig leken en waarin Satter werd opgeroepen om zijn wachtwoord te wijzigen. In de e-mails werd van een open redirect gebruik gemaakt die naar de verkortingsdienst Tiny.cc wees. Deze url-verkorter wees uiteindelijk naar de phishingpagina, die op een .ga-domein werd gehost. De journalist klikte uiteindelijk op de link en vulde zijn wachtwoord op de phishingpagina in.

Op deze manier kregen de aanvallers toegang tot zijn account en allerlei documenten en e-mails. Die werden vervolgens op internet gelekt, maar volgens onderzoekers zijn de gelekte documenten en e-mails aangepast, om zo Russische oppositieleden en journalisten in diskrediet te brengen. De aanval op Satter leidde uiteindelijk tot de ontdekking van een veel grotere phishingcampagne waarvan zo'n 200 mensen uit 39 landen het doelwit waren.

Het gaat om een voormalige Russische premier, Europese en Euraziatische kabinetsleden, ambassadeurs, hooggeplaatste militaire functionarissen, ceo's van energiebedrijven, alsmede academici, activisten, journalisten en vertegenwoordigers van ngo's. Alle doelwitten hadden banden met of toegang tot informatie waarin de Russische overheid interesse heeft getoond, aldus de onderzoekers. Ze stellen echter geen hard bewijs te hebben dat de aanvallen in opdracht van de Russische overheid zijn uitgevoerd.