eGospodarka.pl › Wiadomości › Technologie › Internet › Złośliwe PDF-y: Jak cyberprzestępcy wykorzystują popularny format do phishingu?

Złośliwe PDF-y: Jak cyberprzestępcy wykorzystują popularny format do phishingu?

2025-07-15 13:56

Złośliwe PDF-y: Jak cyberprzestępcy wykorzystują popularny format do phishingu? © wygenerowane przez AI

Coraz częściej pliki PDF, dotychczas uznawane za bezpieczny format wymiany dokumentów, stają się narzędziem wyrafinowanych ataków phishingowych. Eksperci Cisco Talos alarmują, że cyberprzestępcy podszywają się pod znane marki i wykorzystują takie techniki, jak TOAD (phishing przez telefon) oraz QR phishing (quishing), by wyłudzić dane lub nakłonić do instalacji złośliwego oprogramowania. W artykule sprawdzamy, jakie najnowsze metody stosują przestępcy oraz jak skutecznie się przed nimi bronić.

Przeczytaj także: Quishing. Jak nie dać się złowić?

Z tego artykułu dowiesz się:

Jakie są najnowsze techniki wykorzystywania PDF-ów w kampaniach phishingowych i socjotechnicznych.
Na czym polega TOAD (Telephone-Oriented Attack Delivery) oraz QR phishing (quishing) i jak rozpoznać takie ataki.
Które marki są najczęściej wykorzystywane przez cyberprzestępców w złośliwych kampaniach PDF-owych.
Jakie są kluczowe zalecenia dotyczące ochrony przed złośliwymi PDF-ami i phishingiem według ekspertów Cisco Talos.

W ostatnich miesiącach szczególnie nasiliło się zjawisko podszywania się cyberprzestępców pod znane marki. Jest to socjotechnika, która wykorzystuje popularność marek, aby nakłonić odbiorców wiadomości e-mail do ujawnienia poufnych informacji.

Wystarczy jedno kliknięcie w dokument PDF załączony da maila udającego wiadomość od znanej firmy, by nieświadomie trafić na fałszywą stronę imitującą popularne serwisy, np. Adobe czy Dropbox. Czasem to tylko niepozorna grafika, innym razem sprytnie ukryty link lub złośliwa adnotacja w treści pliku. Ponadto, kampanie były często uruchamiane w strategiczny sposób - w okresach wzmożonych zmian kadrowych czy aktualizacji wynagrodzeń – co miało zwiększyć skuteczność socjotechniki.

To wszystko sprawia, że czujność może zostać uśpiona. Co więc powinno wzbudzić nasze podejrzenia?

TOAD: phishing przez telefon

Jednym z najbardziej niepokojących trendów jest tzw. TOAD (Telephone-Oriented Attack Delivery), znany też jako “callback phishing”. W tych scenariuszach ofiara otrzymuje wiadomość e-mail z plikiem PDF, w którym znajduje się numer telefonu. Łącząc się na podany numer, trafia na osobę podszywającą się np. pod przedstawiciela banku, firmy technologicznej czy działu bezpieczeństwa, która podstępem próbuje wyłudzić dane lub nakłonić do zainstalowania złośliwego oprogramowania.

Co ciekawe, przestępcy często korzystają z usług VoIP, które utrudniają identyfikację właściciela numeru. Cisco Talos odnotował przypadki, w których te same numery wykorzystywano przez kilka dni z rzędu. Ponowne wykorzystanie numerów telefonów zapewnia pewne logistyczne korzyści oszustom. Umożliwia stały kontakt w przypadku wieloetapowych ataków socjotechnicznych, planowanie oddzwaniania i przez to uwiarygodnia „marki” wśród ofiar. Wreszcie, numery telefonów można ponownie wykorzystać w celu zminimalizowania kosztów, szczególnie jeśli usługa VoIP jest płatna.

QR phishing - nowa twarz phishingu

QR phishing (lub quishing) to kolejna, coraz popularniejsza, metoda oszustwa - przestępcy umieszczają w pliku PDF kod QR, który po zeskanowaniu kieruje ofiarę na stronę phishingową. Strony te często wykorzystują zabezpieczenia CAPTCHA, by uniknąć automatycznej analizy. Ponadto cała treść e-maila często znajduje się wyłącznie w załączniku i jest wyświetlana ofierze od razu po otwarciu wiadomości, co utrudnia wykrycie zagrożenia przez systemy filtrujące e-maile.

Mechanizmy detekcji oparte na analizie tekstu są w takich przypadkach nieskuteczne – o ile nie zastosuje się technologii OCR (Optical Character Recognition), która jednak wiąże się z wysokimi kosztami i ryzykiem błędów.

PDF-y pozwalają nie tylko na umieszczanie tekstu i obrazów, ale także na tworzenie komentarzy, adnotacji i formularzy. Te ukryte elementy bywają wykorzystywane przez przestępców do zamieszczania odnośników do złośliwych stron, często z użyciem skróconych linków, które jeszcze trudniej zweryfikować. Co więcej, dokumenty mogą zawierać tzw. „szum informacyjny", mający zmylić systemy antyspamowe.

Najczęściej wykorzystywane marki i globalny zasięg ataków

Dzięki silnikowi wykrywania podszywania się pod marki zawartemu w rozwiązaniu Cisco Secure Email Threat Defense, Cisco Talos zebrał dane na temat skali zagrożenia. Między 5 maja a 5 czerwca 2025 roku najczęściej podszywano się pod marki Microsoft, DocuSign, NortonLifeLock, PayPal oraz Geek Squad (usługa serwisowa Best Buy). Ataki te miały charakter zarówno lokalny, jak i międzynarodowy.

Jak się chronić? Kluczowe zalecenia dla użytkowników:

Nie otwieraj podejrzanych załączników PDF, zwłaszcza jeśli pochodzą od nieznanych nadawców.
Nie skanuj kodów QR z plików PDF, których pochodzenie jest niejasne.
Nie dzwoń na numery podane w wiadomościach e-mail lub załącznikach, zanim nie zweryfikujesz ich autentyczności.
Zwracaj uwagę na nietypowe komunikaty i błędy językowe w dokumentach.
Wykorzystuj zaawansowane rozwiązania ochrony poczty, takie jak Cisco Secure Email Threat Defense.

To, co miało służyć bezpiecznemu i wygodnemu przekazywaniu informacji, coraz częściej staje się narzędziem oszustwa. PDF to dziś nie tylko wygodny format przesyłania dokumentów, ale potencjalna brama do kradzieży danych i oszustw finansowych. W obliczu coraz bardziej wyrafinowanych metod phishingu, świadomość użytkowników i nowoczesne technologie detekcji stają się kluczową linią obrony.

Przeczytaj także: