Les experts mettent en garde contre les PDF comme appât pour les e-mails de phishing
Depuis de nombreuses années, le format PDF est un format de document fréquemment utilisé pour les rapports, les offres ou les factures, car il est lisible sur presque tous les appareils. Dans un récent article de blog, l'équipe d'experts de Cisco Talos met toutefois en garde contre le fait que les cybercriminels utilisent de plus en plus les PDF pour imiter des marques dans des e-mails de phishing avancés.
Ces derniers mois, le phénomène des pirates informatiques imitant des marques connues a pris une ampleur particulièrement importante. Avec cette technique d'ingénierie sociale, ils veulent inciter les destinataires d'e-mails à divulguer des informations confidentielles. Les experts de Cisco Talos mettent à nouveau en garde contre cette pratique.
Hameçonnage par téléphone
Dans ce contexte, une tendance dangereuse est le TOAD (Telephone-Oriented Attack Delivery), également connu sous le nom de "phishing de rappel". Dans ce scénario, la victime reçoit un e-mail avec un fichier PDF contenant un numéro de téléphone. En appelant ce numéro, la victime est mise en relation avec une personne qui se fait passer, par exemple, pour un représentant d'une banque, d'une entreprise technologique ou d'un service de sécurité. Elle tente de convaincre la victime de divulguer des données ou d'installer un logiciel malveillant.
Dans ce contexte, les criminels utilisent souvent la VoIP, car il est beaucoup plus difficile de remonter d'un numéro VoIP à une personne spécifique ou à un emplacement physique. Cisco Talos a découvert des cas où les mêmes numéros ont été utilisés plusieurs jours de suite. La réutilisation des numéros de téléphone offre certains avantages logistiques aux fraudeurs. Elle permet un contact permanent lors d'attaques d'ingénierie sociale à plusieurs niveaux, permet de planifier les rappels et légitime ainsi les prétendues marques auprès des victimes. En outre, elle permet de réduire les coûts, notamment lorsque le service VoIP est payant.
Codes QR, annotations et autres formes de données PDF
Le QR phishing (ou hameçonnage) est une autre méthode de fraude de plus en plus répandue : les criminels placent ici un code QR dans un fichier PDF qui, une fois scanné, dirige la victime vers un site de phishing. Ces sites utilisent souvent des caractéristiques de sécurité CAPTCHA afin d'éviter une analyse automatique par les outils de cybersécurité. En outre, l'intégralité du contenu de l'e-mail se trouve souvent uniquement en pièce jointe et est présentée à la victime immédiatement après l'ouverture du message. Il est donc plus difficile pour les systèmes de filtrage des e-mails de détecter la cybermenace. En effet, dans de tels cas, les mécanismes de détection basés sur l'analyse de texte sont inefficaces. Dans ce cas, seule la technologie OCR (Optical Character Recognition) détecte la cyber-attaque. Celle-ci est toutefois liée à des coûts élevés et à un certain risque d'erreur.
Les PDF permettent non seulement d'intégrer des textes et des images, mais aussi de créer des commentaires, des annotations et des formulaires. Ces éléments cachés sont parfois utilisés par les pirates pour intégrer des liens vers des sites web malveillants. Dans ce cas, on utilise souvent des liens raccourcis qui sont plus difficiles à vérifier. En outre, les documents peuvent contenir des informations cachées afin de tromper les systèmes anti-spam.
Les marques les plus contrefaites
Par le biais du moteur de détection d'imposture de marque inclus dans la solution Cisco Secure Email Threat Defense, Cisco Talos a obtenu les résultats suivants : Entre le 5 mai et le 5 juin 2025, Microsoft et PayPal faisaient partie des marques les plus souvent imitées dans les e-mails de phishing avec pièces jointes PDF. Les marques les plus souvent contrefaites dans les e-mails TOAD avec pièces jointes PDF étaient NortonLifeLock, Docusign et Geek Squad. L'origine des attaques correspondantes était répartie dans le monde entier au cours de cette période, des États-Unis à l'Europe en passant par l'Asie et la région Pacifique.
Protection contre les marques imitées
"L'imitation de marque est une technique d'ingénierie sociale courante et est utilisée en permanence par les attaquants pour différents types de menaces par e-mail", explique Thorsten Rosendahl, responsable technique de Cisco Talos. "C'est pourquoi un moteur de détection d'imitation de marque joue un rôle crucial dans la défense contre les cyber-attaques".
Cisco Talos utilise une large gamme de solutions basées sur l'IA pour identifier ce type de menace pour les réseaux numériques et protéger les clients. Elles vont des moteurs basés sur des règles aux systèmes avancés d'apprentissage automatique. Face à des méthodes de phishing de plus en plus sophistiquées, la sensibilisation des utilisateurs et les technologies de détection modernes deviennent de plus en plus importantes.
Source et informations complémentaires
