Il formato PDF è molto noto e usato per condividere documenti in modo universale, poiché mantiene il layout e funziona su tutti i dispositivi. Ma proprio per questa sua enorme diffusione, il PDF è anche un canale sfruttato dai cybercriminali, che negli ultimi tempi li hanno usati in campagne di phishing per impersonare marchi noti e ingannare le vittime. I criminali informatici sfruttano la fiducia che i consumatori hanno nei brand famosi utilizzando loghi e nomi di aziende per rendere credibili e-mail fraudolente. L’obiettivo è indurre le vittime a condividere dati sensibili, come password o informazioni finanziarie, spiega Cisco Talos in una nota.
In alcuni casi, l’intero messaggio, incluso il logo falso, è nascosto nel PDF. Uno dei tanti esempi è una truffa che imita Microsoft con l’oggetto “Incremento della busta paga“, per attirare l’attenzione di chi la riceve. Questo tipo di attacco è più efficace durante periodi come le valutazioni delle performance aziendali, quando i dipendenti si aspettano promozioni o aumenti.
In altri casi il logo del marchio viene inserito come immagine separata o inclusa in un PDF, visibile subito dopo l’apertura dell’e-mail. Un altro tipo di esempio è una la truffa che imita i marchi Microsoft e Adobe, con il logo Adobe come immagine allegata. Questo rende il messaggio più credibile e aumenta le probabilità di ingannare immediatamente la vittima.
Quando la vittima clicca sul link “Visualizza l’allegato online“, viene indirizzata a una pagina di phishing che imita il sito di Dropbox. L’obiettivo è far credere alla vittima di accedere a un servizio legittimo per visualizzare un documento, mentre in realtà sta rivelando informazioni sensibili ai cybercriminali.
Alcuni attacchi e-mail con allegati PDF cercano invece di ingannare le vittime inducendole a chiamare numeri di telefono controllati dai cybercriminali. Questo tipo di attacco, chiamato TOAD (Telephone-Oriented Attack Delivery), spinge la vittima a chiamare un numero indicato nel PDF per risolvere un problema o confermare una transazione. Una volta che la vittima chiama, l’aggressore si finge un rappresentante legittimo e cerca di ottenere informazioni sensibili o installare malware. A differenza del phishing tradizionale, che usa link o allegati dannosi, il TOAD si basa esclusivamente su telefonate. Inoltre, i numeri di telefono utilizzati provengono spesso da servizi VoIP, difficili da tracciare e riutilizzabili.
Anche i codici QR vengono sempre più usati dai cybercriminali nelle e-mail di phishing. Gli aggressori sfruttano la fiducia che le vittime hanno verso marchi famosi per indurle a scansionare il codice, che le reindirizza a pagine di phishing spesso protette da CAPTCHA per sembrare più credibili. In molte e-mail di phishing con codice QR l’intero messaggio è incorporato nel PDF, visibile appena l’e-mail viene aperta. Questo rende difficile per i filtri e-mail rilevare il phishing, poiché i motori di rilevamento si basano su testi o parole chiave. L’analisi del contenuto richiederebbe il riconoscimento ottico dei caratteri (OCR), ma questo processo può essere impreciso e costoso, rendendo più difficile individuare gli attacchi.
Anche se i PDF sono uno standard aperto, la loro struttura complessa può nascondere informazioni invisibili come annotazioni, commenti o link nascosti. Questo aiuta i cybercriminali a eludere i filtri antispam. Per rendere più efficaci le e-mail di phishing con codici QR, gli aggressori sfruttano spesso le annotazioni nei PDF. Un link dannoso, ad esempio, può essere nascosto in un commento o in un campo nascosto del documento. Inoltre, i criminali informatici possono inserire testo legittimo per confondere i sistemi di rilevamento o usare URL abbreviati, rendendo difficile capire dove porta davvero il link.