Gli esperti mettono in guardia dai PDF come esca per le mail di phishing
Il formato PDF è stato per molti anni un formato di documento frequentemente utilizzato per relazioni, preventivi e fatture, in quanto può essere letto su quasi tutti i dispositivi. Tuttavia, in un recente post sul blog, il team di esperti di Cisco Talos avverte che i criminali informatici utilizzano sempre più spesso i PDF per impersonare i marchi nelle e-mail di phishing avanzate.
Negli ultimi mesi si è particolarmente diffuso il fenomeno degli hacker che imitano marchi famosi. Utilizzano questa tecnica di social engineering per ingannare i destinatari delle e-mail e indurli a divulgare informazioni riservate. Gli esperti di Cisco Talos mettono ancora una volta in guardia da questo fenomeno.
Phishing via telefono
Una tendenza pericolosa è il TOAD (Telephone-Oriented Attack Delivery), noto anche come "callback phishing". In questo scenario, la vittima riceve un'e-mail con un file PDF contenente un numero di telefono. Chiamando questo numero, la vittima viene messa in contatto con una persona che finge di essere un rappresentante di una banca, di un'azienda tecnologica o di un dipartimento di sicurezza, ad esempio. Il tentativo è quello di convincere la vittima a divulgare i dati o a installare un malware.
I criminali utilizzano spesso il VoIP, poiché è molto più difficile risalire da un numero VoIP a una persona specifica o a un luogo fisico. Cisco Talos ha scoperto casi in cui gli stessi numeri sono stati utilizzati per diversi giorni consecutivi. Il riutilizzo dei numeri di telefono offre alcuni vantaggi logistici ai truffatori. Consente un contatto costante negli attacchi di social engineering in più fasi, permette di pianificare le richiamate e quindi legittima i presunti marchi con le vittime. Può anche ridurre i costi, soprattutto se il servizio VoIP è a pagamento.
Codici QR, annotazioni e altre forme di dati PDF
Il QR phishing (o quishing) è un altro metodo di frode in crescita: i criminali inseriscono un codice QR in un file PDF che, se scansionato, indirizza la vittima a un sito web di phishing. Questi siti web spesso utilizzano funzioni di sicurezza CAPTCHA per evitare l'analisi automatica da parte degli strumenti di cybersecurity. Inoltre, l'intero contenuto dell'e-mail è spesso contenuto solo nell'allegato e viene visualizzato dalla vittima subito dopo l'apertura del messaggio. Ciò rende difficile per i sistemi di filtraggio delle e-mail riconoscere la minaccia informatica. In questi casi, i meccanismi di rilevamento basati sull'analisi del testo sono inefficaci. Solo la tecnologia OCR (Optical Character Recognition) può riconoscere l'attacco informatico. Tuttavia, questa soluzione è associata a costi elevati e a un certo rischio di errore.
È possibile integrare nei PDF non solo testo e immagini, ma anche commenti, annotazioni e moduli. Questi elementi nascosti sono talvolta utilizzati dagli hacker per incorporare link a siti web dannosi. Spesso vengono utilizzati link abbreviati, più difficili da controllare. I documenti possono anche contenere informazioni nascoste per ingannare i sistemi anti-spam.
I marchi più frequentemente contraffatti
Utilizzando il Brand Impersonation Detection Engine incluso nella soluzione Cisco Secure Email Threat Defence, Cisco Talos ha determinato i seguenti risultati: Tra il 5 maggio e il 5 giugno 2025, Microsoft e PayPal sono stati tra i marchi più impersonati nelle e-mail di phishing con allegati PDF. I marchi più frequentemente spacciati nelle e-mail TOAD con allegati PDF sono stati NortonLifeLock, Docusign e Geek Squad. L'origine degli attacchi corrispondenti è stata distribuita in tutto il mondo in questo periodo, dagli Stati Uniti e dall'Europa all'Asia e alla regione del Pacifico.
Protezione contro le imitazioni dei marchi
"L'impersonificazione del marchio è una tecnica comune di social engineering ed è costantemente utilizzata dagli aggressori per vari tipi di minacce via e-mail", spiega Thorsten Rosendahl, Technical Leader di Cisco Talos. "Un motore di rilevamento della brand impersonation svolge quindi un ruolo cruciale nella difesa dagli attacchi informatici".
Cisco Talos utilizza un'ampia gamma di soluzioni basate sull'intelligenza artificiale per rilevare questo tipo di minacce alle reti digitali e proteggere i clienti. Si va dai motori basati su regole ai sistemi avanzati di apprendimento automatico. Poiché i metodi di phishing diventano sempre più sofisticati, la consapevolezza degli utenti e le tecnologie di rilevamento avanzate stanno diventando sempre più importanti.
Fonte e ulteriori informazioni
