PDF-y, uznawane za jeden z najbezpieczniejszych i najwygodniejszych formatów cyfrowych, stały się łakomym kąskiem dla cyberprzestępców. Eksperci Cisco Talos alarmują: popularność tego formatu dokumentów sprawiła, iż w tej chwili stanowi on jedno z głównych narzędzi zaawansowanych kampanii phishingowych i socjotechnicznych, zagrażając zarówno użytkownikom indywidualnym, jak i firmom na całym świecie.
PDF – wygoda z ukrytym ryzykiem
Pliki PDF od lat są synonimem uniwersalności i wygody – otwierają się na niemal każdym urządzeniu i wykorzystywane są do przesyłania faktur, ofert, raportów czy dokumentów korporacyjnych. Jednak z tej popularności coraz częściej korzystają cyberprzestępcy, którzy, jak wynika z analiz Cisco Talos, w ostatnich miesiącach znacznie zintensyfikowali działania wymierzone w użytkowników właśnie dzięki PDF-ów.
Mechanizm ataku często polega na podszywaniu się pod znane marki, co pozwala uśpić czujność odbiorcy. Wystarczy jedno kliknięcie w pozornie niegroźny dokument, by użytkownik został przekierowany na fałszywą stronę, która łudząco przypomina popularne serwisy, takie jak Adobe czy Dropbox. Przestępcy coraz częściej atakują w okresach wzmożonych zmian kadrowych czy wypłat, licząc na niższą czujność ofiar.
Nowe techniki ataku: TOAD i QR phishing
Eksperci Cisco Talos zwracają uwagę na dwie szczególnie groźne metody: TOAD (Telephone-Oriented Attack Delivery) oraz QR phishing (quishing). W pierwszym przypadku ofiara otrzymuje PDF-a z numerem telefonu i, po nawiązaniu kontaktu, trafia na fałszywego konsultanta podszywającego się pod przedstawiciela banku czy firmy technologicznej. Często do rozmów wykorzystywane są trudne do namierzenia numery VoIP, wielokrotnie używane podczas różnych kampanii.
QR phishing z kolei polega na umieszczeniu w PDF-ie kodu QR, który po zeskanowaniu przekierowuje użytkownika na złośliwą stronę, często zabezpieczoną mechanizmem CAPTCHA, co utrudnia automatyczne wykrycie zagrożenia przez systemy ochrony. Cała treść oszukańczej wiadomości nierzadko zawarta jest wyłącznie w załączniku, z pominięciem treści samego e-maila, co utrudnia filtrację przez tradycyjne zabezpieczenia.
Zaawansowane ukryte elementy i globalny zasięg ataków
Złośliwe PDF-y coraz częściej zawierają nie tylko ukryte linki, ale też adnotacje, komentarze czy formularze, które mogą przekierowywać na niebezpieczne strony lub wprowadzać „szum informacyjny” mający zmylić filtry antyspamowe. Cyberprzestępcy chętnie korzystają także ze skróconych linków, których autentyczność jest trudna do weryfikacji.
Z danych Cisco Talos wynika, iż między 5 maja a 5 czerwca 2025 roku najczęściej podszywano się pod takie marki jak Microsoft, DocuSign, NortonLifeLock, PayPal czy Geek Squad. Ataki te dotyczyły zarówno użytkowników lokalnych, jak i międzynarodowych, co potwierdza globalny charakter problemu.
Jak nie dać się zwieść złośliwym PDF-om?
W obliczu coraz bardziej wyrafinowanych metod ataku kluczowa jest nie tylko technologia, ale również świadomość użytkowników. Eksperci zalecają:
- Nie otwierać podejrzanych załączników PDF od nieznanych nadawców.
- Nie skanować kodów QR z niezweryfikowanych plików PDF.
- Weryfikować autentyczność numerów telefonów podanych w dokumentach.
- Zwracać uwagę na błędy językowe i nietypowe komunikaty.
- Korzystać z zaawansowanych rozwiązań ochrony poczty, takich jak Cisco Secure Email Threat Defense.
