Användningen av PDF-filer för att lura användare att klicka på skadliga länkar ökade med 1000 procent under 2020, visar en sammanställning från IT-säkerhetsföretaget Palo Alto Networks.
Istället för att använda länkar i vanliga mejl så gömmer idag cyberbrottslingar länkarna oftare i PDF-filer, som kan distribueras på en mängd olika sätt.
Under 2019 identifierade analytiker på Palo Alto Networks 411 800 skadliga PDF-filer. Under 2020 hade antalet ökat till över fem miljoner. Det motsvarar en ökning på över 1000 procent på ett år.
Med hjälp av en layout och utformning som uppfattas som trovärdig luras användare att klicka på bilder eller knappar i PDF-dokument. Länkarna i PDF-filen leder sällan direkt till den webbsida där själva nätfisket utförs. För att maskera attacken använder angriparna ofta en kedja av webbsidor där användaren omärkligt omdirigeras flera gånger på vägen. Vidarelänkningen ger också angriparen möjlighet att dynamiskt styra om trafiken och byta länkar när någon av de målsidor de använder identifieras och blockeras.
Palo Alto Networks har identifierat fem typiska och vanliga angrepp som idag distribueras via PDF-filer.
• Falsk Captcha – vanligast är att användare luras att interagera med ett falskt captcha-robotfilter som bara består av en bild. Ett klick på ”fortsätt” tar användaren till webbsidan där nätfisket sker.
• Rabatterbjudanden – en bild eller knapp i dokumenten med ett aggressivt rabatterbjudande. Lockar användaren att klicka och därmed transportera sig till en webbsida.
• Play-knapp – en statisk bild som innehåller en play-knapp. Användaren luras att tro att det finns en inbäddad film som går att starta med hjälp av knappen.
• Delade filer – användare uppmanas att klicka för att få åtkomst till en fil som någon delat med dem. Bilden innehåller logotyp och text från vanliga tjänster som Dropbox eller Onedrive och ser legitim ut.
• E-handel – ofta uppmaningar till att uppdatera inaktuell kund- eller kreditkortsinformation. Angriparen kopierar utseendet hos välanvända och bekanta e-handelssajter och skapar en PDF-fil som ser riktig ut. Vid klick transporteras användaren till sidan där attacken sker.
Med tanke på den snabba ökningen av nätfiske via PDF-filer uppmanas användare att vara extra försiktiga med att öppna eller klicka på bifogade PDF-filer som inte är förväntade eller inte kommer från en känd avsändare.
Kunder till Palo Alto Networks som använder tjänster som Cortex XDR, Wildfire eller Threath Prevention är skyddade mot denna typ av attacker.