Tilbake i 2019 identifiserte selskapets analytikere 411 800 ondsinnede PDF-filer. En fersk kartlegging viser at antallet økte til mer enn 5 millioner i 2020, noe som tilsvarer en vekst på over 1000 prosent.
Cyberkriminelle gjemmer stadig oftere lenkene som de forsøker å narre folk inn på i PDF-filer, i motsetning til lenker i vanlig epost-phishing.
Ved hjelp av layout og utforming som oppfattes troverdig blir mottakerne lurt til å klikke på bilder eller knapper i dokumentet. Lenkene leder sjeldent direkte til de forfalskede nettstedene der nettfisket (eng. phishing) blir utført, skriver Palo Alto Networks i en pressemelding.
I stedet er det vanligere å skjule angrepet via en kjede av websider, der offeret uten å merke det blir omdirigert flere ganger på veien. Dette gir angriperen og en mulighet til å dynamisk bytte ut lenkenes mål, hvis eller når landingssidene blir identifisert og blokkert.
– PDF-filer er en fristende angrepsvektor, ettersom det er kryssplattform og angriperne kan samhandle med brukerne, noe som gir kampanjene mer troverdighet enn tekstbasert epost med vanlige lenker, konstaterer de.
Utvis årvåkenhet
Rådet som gis etter å ha fanget opp en økende trenden med phishing-angrep via PDF-filer er å være årvåken ved mottak av slike vedlegg.
– Brukere oppfordres vil å være ekstra forsiktige med å åpne eller klikke på PDF-vedlegg som ikke er forventet, eller som ikke kommer fra en kjent avsender, skriver selskapet.
Palo Alto Networks er et børsnotert amerikansk datasikkerhetsfirma med over 7 000 ansatte og hovedkvarter i Santa Clara i California. I fjor omsatte de for 3,4 milliarder dollar.
Fem typiske angrep
Ekspertene i selskapet har identifisert et knippe angrep som de kaller typiske og vanlige, og som i dag blir distribuert via PDF-filer:
- Falsk captcha – det vanligste er at mottaker blir lurt til å samhandle med et forfalsket captcha-robotfilter, som kun består av et bilde. Det er i praksis en lenke til nettstedet der phishingen skjer.
- Lokketilbud – et bilde eller en knapp i dokumentet med aggressive tilbud og rabatter, som lokker brukeren til å klikke og dermed besøke en nettside.
- Play-knapp – et statisk bilde som inneholder en avspillingsknapp. Brukeren blir lurt til å tro at det er en innbygd filmsnutt som det går an å starte ved hjelp av knappen.
- Delte filer – brukeren blir anmodet om å klikke for tilgang til en fil, som noen visstnok har delt med dem. Bildet inneholder logo og tekst hentet fra kjente lagringstjenester som Dropbox eller Onedrive for å fremstå legitim.
- E-handel – ofte en oppfordring om å oppdatere utdaterte kundeopplysninger eller betalingskortinformasjon. Angriper kopierer design og utseende fra velkjente ehandelsnettsteder og skaper en PDF-fil som ser ekte ut. Ved klikk så blir brukeren transportert til websiden der angrepet skjer.