HackerNews 编译,转载请注明出处:
人人都信任PDF——而这正是网络犯罪分子如此痴迷于它们的原因。
便携式文档格式(Portable Document Format),更常被称为PDF,每天被分发数百万次。从税务文件、简历到发票、数字手册或任何其他信息,都通过电子邮件以PDF附件的形式发送。
PDF简单、跨平台且普遍受信任。它们可以包含图像、可点击链接和看似官方的标识。这使它们成为攻击者想要混入其中的完美载体,也正是黑客们当前痴迷于它们的原因。
过去几个月,网络安全分析师观察到通过PDF文件发起的钓鱼攻击急剧增加。这些PDF被设计成模仿科技巨头和服务提供商的合法通信,以诱骗受害者泄露凭证或下载恶意软件。
根据思科Talos的洞察,在2025年5月5日至6月5日期间,使用PDF附件进行品牌冒充的行为激增。被冒充最多的品牌是微软(Microsoft)和DocuSign。而NortonLifeLock、PayPal和Geek Squad则属于包含PDF附件的电话导向攻击(TOAD)邮件中最常被冒充的品牌之列。
这些钓鱼活动是全球性的,许多源自美国和欧洲的IP地址。
攻击者如何利用PDF?
最近的一次攻击冒充了微软,使用了诸如“薪资调整”之类的诱饵主题行,时间点特意选在各组织可能发生晋升或绩效变动的时期。
该PDF看起来像一份标准的人力资源文件,足以让受害者相信并扫描其中的二维码,该二维码会将他们重定向到一个窃取凭证的网站。Dropbox也常被用作分发恶意PDF的平台。
然后是电话导向攻击(TOAD)。这些钓鱼PDF的目的不是让受害者简单地点击链接——而是通过电话对他们进行钓鱼。骗子通常会发送关于账单错误、可疑活动或订阅续费的信息,并包含一个“客服”电话号码。
这些邮件诈骗中使用的大多数电话号码是网络电话(VoIP)号码,追踪到真实个人或物理位置的难度远高于普通固话。
骗子还滥用Adobe电子签名服务等合法平台。2025年4月至5月期间,Talos发现了通过Adobe系统发送的PDF,冒充PayPal等品牌。
PDF也是二维码钓鱼的绝佳载体,而二维码钓鱼当下正大行其道。这些二维码通常冒充微软或Adobe等公司。
此外,还有一种危险策略是滥用PDF文件中的注释功能。PDF可以在评论、便签或表单域等地方隐藏链接。所有这些区域都会被许多扫描器忽略。
攻击者还会在文件中填充无关文本来混淆检测引擎。在某些情况下,他们会嵌入两个URL:一个看起来是干净的(用于建立信任),另一个隐藏的URL则会将你带到真正的钓鱼页面。
消息来源: Cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
