Eksperci Cisco Talos alarmują: z pozoru niewinne pliki PDF coraz częściej stają się nośnikiem zaawansowanych ataków phishingowych. W ostatnich miesiącach szczególnie nasilają się kampanie, w których cyberprzestępcy podszywają się pod znane marki, wykorzystując zaufanie odbiorców do manipulacji i kradzieży danych.
Według danych zebranych przez Cisco Talos między 5 maja a 5 czerwca 2025 r., najczęściej wykorzystywanymi markami w tego typu atakach były: Microsoft, DocuSign, NortonLifeLock, PayPal oraz Geek Squad (usługa Best Buy). Ataki miały zasięg zarówno lokalny, jak i międzynarodowy.
Szczególnie niepokojący jest trend związany z tzw. atakiem TOAD (Telephone-Oriented Attack Delivery), w ramach którego plik PDF zawiera numer telefonu do rzekomego działu wsparcia. Połączenie się z tym numerem może prowadzić do rozmowy z oszustem podszywającym się np. pod pracownika banku, który próbuje wyłudzić dane lub nakłonić do instalacji złośliwego oprogramowania. Przestępcy często korzystają z usług VoIP, co utrudnia ich identyfikację.
Kolejną techniką jest QR phishing, zwany także „quishingiem” – to metoda, w której w plikach PDF umieszczane są kody QR prowadzące na fałszywe strony internetowe. Strony te mogą być dodatkowo zabezpieczone mechanizmami CAPTCHA, co utrudnia automatyczne wykrywanie zagrożeń przez systemy filtrujące.
Eksperci zwracają uwagę, że PDF-y to dziś nie tylko nośniki tekstu czy grafiki – mogą zawierać również ukryte adnotacje, formularze czy komentarze zawierające złośliwe odnośniki, często w postaci skróconych linków. To wszystko sprawia, że nawet zaawansowane systemy ochrony mogą mieć trudności z ich wychwyceniem, zwłaszcza bez zastosowania technologii OCR.
Aby się chronić, Cisco zaleca:
- nie otwierać załączników PDF z nieznanych źródeł,
- nie skanować kodów QR z podejrzanych dokumentów,
- nie dzwonić na numery telefonów z e-maili bez wcześniejszej weryfikacji,
- zwracanie uwagi na błędy językowe i nietypową treść,
- korzystanie z rozwiązań ochronnych, takich jak np. Cisco Secure Email Threat Defense.
