A Cisco Talos biztonsági kutatócsapat riasztó fejleményre hívta fel a figyelmet: egyre több, kifinomult adathalász kampány használ PDF mellékleteket, hogy ismert márkákat – például a Microsoftot, a DocuSign-t vagy a Dropboxot – utánozva csapdába csalják az áldozatokat. A támadások célja a felhasználók bizalmának elnyerése, amelyet hamis dokumentumokkal, QR-kódokkal, márkalogókkal és megtévesztő hivatkozásokkal próbálnak elérni.
Ismert márkák hamisítása: újfajta bizalommanipuláció
A Cisco frissítette márkautánzás-felismerő rendszerét, miután egyértelműen megnőtt azoknak a kampányoknak a száma, amelyek PDF dokumentumokon keresztül próbálnak adatokat kicsalni a felhasználóktól. A dokumentumok gyakran úgy néznek ki, mintha egy valódi, hiteles szervezet küldte volna őket.
A leggyakrabban utánzott márkák:
- Microsoft
- DocuSign
- Dropbox
- PayPal
- NortonLifeLock
- Geek Squad
A kampányok sikeressége nagyrészt annak köszönhető, hogy az ismert márkák iránti bizalom csökkenti az óvatosságot ez különösen veszélyes, ha a felhasználó nem figyel a részletekre.
TOAD – avagy visszahívásos adathalászat
A Talos kiemelte az úgynevezett TOAD (Telephone-Oriented Attack Delivery) típusú támadások terjedését, amelyeket „visszahívásos adathalászatként” is ismerünk. A TOAD nem hagyományos módszert alkalmaz: nem hamis weboldalakra irányítja az áldozatokat, hanem arra ösztönzi őket, hogy hívjanak fel egy támadó által üzemeltetett telefonszámot, amely a PDF-ben található. A csalók ezután telefonon, VoIP-számokon keresztül ügyfélszolgálati képviselőnek adják ki magukat, és különféle módszerekkel próbálják rávenni az áldozatot, hogy:
- személyes vagy pénzügyi adatokat osszon meg,
- távoli hozzáférést engedélyezzen a gépéhez,
- vagy káros szoftvert telepítsen.
QR-kódos adathalászat: a vizuális csapda
A támadók gyakran használnak QR-kódokat, hogy elkerüljék az e-mail rendszerek biztonsági szűrőit és egyszerűen megkerüljék a felhasználók gyanakvását. Ezek a QR-kódok:
- gyakran legitimnek tűnő oldalakra vezetnek (például bejelentkezési oldalakra),
- valójában adathalász oldalakra irányítanak, amelyek CAPTCHA mechanizmussal próbálják elnyerni a bizalmat,
- vagy rejtett hivatkozásokat tartalmaznak megjegyzésként (annotation) a PDF fájlban, amit sok levélszűrő nem képes felismerni.
A QR-kódokat gyakran URL-rövidítőkkel takarják el, így a felhasználók még nehezebben tudják megítélni, hová vezetnek a hivatkozások.
PDF mint támadó eszköz: a több rétegű megtévesztés
A PDF fájlokat a támadók többek között azért kedvelik, mert:
- többrétegű szerkezetük lehetővé teszi, hogy egyszerre tartalmazzanak képeket, szöveget és megjegyzéseket,
- elrejthetnek rosszindulatú hivatkozásokat úgy, hogy azok vizuálisan nem jelennek meg, csak az elemzés során,
- spamszűrők gyakran figyelmen kívül hagyják a PDF fájlokba rejtett kódokat, ha nincs optikai karakterfelismerő (OCR) technológiájuk.
A Talos példákat hozott olyan esetekre is, amikor a támadók az Adobe e-aláírás szolgáltatását használták arra, hogy az áldozatnak közvetlenül küldjék el a hamisított PDF-et.
Taktikai időzítés és pszichológiai manipuláció
A kampányok gyakran stratégiai időzítéssel zajlanak. Például promóciós időszakban „Bérnövekedés” tárgyú e-mailekkel keresik meg a felhasználókat, vagy Dropbox meghívásként álcázzák a támadást, hogy a kíváncsiság vagy bizalom alapján történjen az interakció. Ezek a kampányok technikai sérülékenységek mellett emberi tényezőket is kihasználnak: a felhasználó megszokásaiból, figyelmetlenségéből vagy túlzott bizalmából élnek meg.
A Cisco védelmi lépései és ajánlások
A Cisco Talos csapata továbbfejleszti a márkautánzásfelismerő és PDF analizáló motorját, különösen a következő területeken:
- TOAD támadások telefonszámainak gyűjtése, mint indikátorok (IOCs),
- PDF-ekben rejtett QR-kódok és linkek elemzése,
- OCR technológia beépítése a rejtett tartalmak azonosítására.
Mit tehetnek a felhasználók és szervezetek?
Ahogy az adathalász kampányok egyre kifinomultabbá válnak, nemcsak technikai védekezésre, hanem tudatos felhasználói magatartásra is szükség van.
Ajánlott lépések:
- Ne nyissunk meg ismeretlen feladótól származó PDF mellékletet, különösen, ha QR-kódot tartalmaz.
- Gyanakodjunk, ha a dokumentum telefonszámot, „fizetési megerősítést” vagy „biztonsági frissítést” kér.
- Legyünk különösen óvatosak az olyan PDF-ekkel, amelyek márkás logókat és sürgető nyelvezetet használnak.
- Oktassuk a munkavállalókat a legújabb adathalász technikákról, a TOAD és a QR-kódos csalások különösen aktuálisak.
Az adathalászat evolúciója jól mutatja, hogy a támadók nem csak technikai résekre, hanem emberi gyengeségekre is építenek. A Cisco figyelmeztetése nemcsak informatikai szakembereknek, hanem minden felhasználónak szól: a bizalom könnyen manipulálható – a gyanakvás most biztonság.