A Cisco Talos biztonsági kutatócsapat riasztó fejleményre hívta fel a figyelmet: egyre több, kifinomult adathalász kampány használ PDF mellékleteket, hogy ismert márkákat – például a Microsoftot, a DocuSign-t vagy a Dropboxot – utánozva csapdába csalják az áldozatokat. A támadások célja a felhasználók bizalmának elnyerése, amelyet hamis dokumentumokkal, QR-kódokkal, márkalogókkal és megtévesztő hivatkozásokkal próbálnak elérni.

Ismert márkák hamisítása: újfajta bizalommanipuláció

A Cisco frissítette márkautánzás-felismerő rendszerét, miután egyértelműen megnőtt azoknak a kampányoknak a száma, amelyek PDF dokumentumokon keresztül próbálnak adatokat kicsalni a felhasználóktól. A dokumentumok gyakran úgy néznek ki, mintha egy valódi, hiteles szervezet küldte volna őket.

A leggyakrabban utánzott márkák:

• Microsoft
• DocuSign
• Dropbox
• PayPal
• NortonLifeLock
• Geek Squad

A kampányok sikeressége nagyrészt annak köszönhető, hogy az ismert márkák iránti bizalom csökkenti az óvatosságot ez különösen veszélyes, ha a felhasználó nem figyel a részletekre.

TOAD – avagy visszahívásos adathalászat

A Talos kiemelte az úgynevezett TOAD (Telephone-Oriented Attack Delivery) típusú támadások terjedését, amelyeket „visszahívásos adathalászatként” is ismerünk. A TOAD nem hagyományos módszert alkalmaz: nem hamis weboldalakra irányítja az áldozatokat, hanem arra ösztönzi őket, hogy hívjanak fel egy támadó által üzemeltetett telefonszámot, amely a PDF-ben található. A csalók ezután telefonon, VoIP-számokon keresztül ügyfélszolgálati képviselőnek adják ki magukat, és különféle módszerekkel próbálják rávenni az áldozatot, hogy:

• személyes vagy pénzügyi adatokat osszon meg,
• távoli hozzáférést engedélyezzen a gépéhez,
• vagy káros szoftvert telepítsen.

QR-kódos adathalászat: a vizuális csapda

A támadók gyakran használnak QR-kódokat, hogy elkerüljék az e-mail rendszerek biztonsági szűrőit és egyszerűen megkerüljék a felhasználók gyanakvását. Ezek a QR-kódok:

• gyakran legitimnek tűnő oldalakra vezetnek (például bejelentkezési oldalakra),
• valójában adathalász oldalakra irányítanak, amelyek CAPTCHA mechanizmussal próbálják elnyerni a bizalmat,
• vagy rejtett hivatkozásokat tartalmaznak megjegyzésként (annotation) a PDF fájlban, amit sok levélszűrő nem képes felismerni.

A QR-kódokat gyakran URL-rövidítőkkel takarják el, így a felhasználók még nehezebben tudják megítélni, hová vezetnek a hivatkozások.

PDF mint támadó eszköz: a több rétegű megtévesztés

A PDF fájlokat a támadók többek között azért kedvelik, mert:

• többrétegű szerkezetük lehetővé teszi, hogy egyszerre tartalmazzanak képeket, szöveget és megjegyzéseket,
• elrejthetnek rosszindulatú hivatkozásokat úgy, hogy azok vizuálisan nem jelennek meg, csak az elemzés során,
• spamszűrők gyakran figyelmen kívül hagyják a PDF fájlokba rejtett kódokat, ha nincs optikai karakterfelismerő (OCR) technológiájuk.

A Talos példákat hozott olyan esetekre is, amikor a támadók az Adobe e-aláírás szolgáltatását használták arra, hogy az áldozatnak közvetlenül küldjék el a hamisított PDF-et.

Taktikai időzítés és pszichológiai manipuláció

A kampányok gyakran stratégiai időzítéssel zajlanak. Például promóciós időszakban „Bérnövekedés” tárgyú e-mailekkel keresik meg a felhasználókat, vagy Dropbox meghívásként álcázzák a támadást, hogy a kíváncsiság vagy bizalom alapján történjen az interakció. Ezek a kampányok technikai sérülékenységek mellett emberi tényezőket is kihasználnak: a felhasználó megszokásaiból, figyelmetlenségéből vagy túlzott bizalmából élnek meg.

A Cisco védelmi lépései és ajánlások

A Cisco Talos csapata továbbfejleszti a márkautánzásfelismerő és PDF analizáló motorját, különösen a következő területeken:

• TOAD támadások telefonszámainak gyűjtése, mint indikátorok (IOCs),
• PDF-ekben rejtett QR-kódok és linkek elemzése,
• OCR technológia beépítése a rejtett tartalmak azonosítására.

Mit tehetnek a felhasználók és szervezetek?

Ahogy az adathalász kampányok egyre kifinomultabbá válnak, nemcsak technikai védekezésre, hanem tudatos felhasználói magatartásra is szükség van.

Ajánlott lépések:

• Ne nyissunk meg ismeretlen feladótól származó PDF mellékletet, különösen, ha QR-kódot tartalmaz.
• Gyanakodjunk, ha a dokumentum telefonszámot, „fizetési megerősítést” vagy „biztonsági frissítést” kér.
• Legyünk különösen óvatosak az olyan PDF-ekkel, amelyek márkás logókat és sürgető nyelvezetet használnak.
• Oktassuk a munkavállalókat a legújabb adathalász technikákról, a TOAD és a QR-kódos csalások különösen aktuálisak.

Az adathalászat evolúciója jól mutatja, hogy a támadók nem csak technikai résekre, hanem emberi gyengeségekre is építenek. A Cisco figyelmeztetése nemcsak informatikai szakembereknek, hanem minden felhasználónak szól: a bizalom könnyen manipulálható – a gyanakvás most biztonság.

(forrás, forrás)