Il formato PDF è uno standard universale per la condivisione di documenti, ma proprio la sua diffusione lo rende un canale privilegiato per attacchi di phishing sempre più sofisticati. I cybercriminali lo usano per impersonare marchi noti e trarre in inganno le vittime, sfruttando la fiducia che i consumatori hanno nei brand famosi per ottenere credenziali e informazioni finanziarie.
In molte campagne di phishing, l’intero messaggio – incluso un logo falso – è incorporato direttamente nel PDF. Un esempio è una truffa che imita Microsoft con oggetto “Incremento della busta paga”, pensata per colpire i dipendenti in periodi di valutazione delle performance aziendali, quando si aspettano promozioni o aumenti.
Altri attacchi mostrano il logo del brand come immagine separata o allegata nel PDF. In questi casi, il file contiene un link apparentemente legittimo – come “Visualizza l’allegato online” – che in realtà reindirizza a una pagina di phishing che imita il sito di Dropbox. L’obiettivo è far credere alla vittima di accedere a un servizio legittimo per visualizzare un documento, inserendo inconsapevolmente credenziali o dati sensibili.
Attacchi TOAD: la truffa passa dal telefono
Alcuni attacchi e-mail con PDF allegati mirano a far chiamare alle vittime numeri di telefono gestiti dai cybercriminali. Questo metodo, noto come TOAD (Telephone-Oriented Attack Delivery), induce l’utente a contattare un numero indicato nel file per risolvere un problema o confermare una transazione. Chi risponde si finge un operatore legittimo e tenta di ottenere dati sensibili o installare malware. A differenza del phishing tradizionale, il TOAD si basa esclusivamente su telefonate e utilizza numeri VoIP, difficili da tracciare e facilmente riutilizzabili.
Phishing con codice QR
I codici QR sono sempre più usati nei phishing via e-mail. I cybercriminali sfruttano la fiducia verso marchi noti per spingere le vittime a scansionare codici che rimandano a pagine di phishing, spesso protette da CAPTCHA per risultare più credibili. In molte e-mail di phishing con codice QR l’intero messaggio è incorporato nel PDF allegato e visibile una volta aperta l’e-mail, rendendo difficile il rilevamento da parte dei filtri e-mail, che si basano su testi o parole chiave. Individuare queste minacce richiederebbe l’uso di riconoscimento ottico dei caratteri (OCR), un processo costoso e non sempre preciso.
Annotazioni all’interno dei file PDF
Nonostante i PDF siano uno standard aperto, la loro struttura complessa permette di nascondere informazioni invisibili come annotazioni, commenti o link nascosti. Questo facilita gli aggressori a eludere i filtri antispam. Nei phishing con codici QR, i cybercriminali sfruttano spesso queste annotazioni per inserire link dannosi nascosti in commenti o campi invisibili. Possono inoltre includere testo legittimo o URL abbreviati per confondere i sistemi di rilevamento e rendere difficile capire la destinazione reale dei link.
Protezione contro l’impersonificazione del marchio
L’impersonificazione del marchio è tra le tecniche di phishing più diffuse via e-mail. Per difendersi è fondamentale adottare motori di rilevamento specifici contro l’impersonificazione del brand e mantenere alta la guardia anche su messaggi apparentemente legittimi.
https://www.cisco.com/c/it_it/about/news/2025-archive/20250724.html
L'articolo Le principali minacce di phishing nei file PDF proviene da Rivista Cybersecurity Trends.