PDF-Phishing: Wie Cyberkriminelle PDF-Dokumente bei modernen E-Mail-Angriffen ausnutzen

Blog

Erfahren Sie, wie PDF-Phishing funktioniert, wie Angreifer bösartige Links und Formulare zur Eingabe von Zugangsdaten in PDF-Dateien verstecken und wie Sie sich vor E-Mail-basierten PDF-Angriffen schützen können.

von Ahona Rudra

Zuletzt aktualisiert:
9 Lesezeit: 9 Minuten
PDF-Phishing: Wie Cyberkriminelle PDF-Dokumente bei modernen E-Mail-Angriffen ausnutzen
Inhaltsverzeichnis-

Wichtigste Erkenntnisse

  • PDF-Phishing ist eine sich rasch verbreitende E-Mail-Angriffstechnik, bei der Cyberkriminelle bösartige Links, QR-Codes oder Formulare zur Eingabe von Zugangsdaten in scheinbar legitimen PDF-Anhängen verstecken.
  • Angreifer nutzen das Vertrauen aus, das Menschen in PDF-Dateien setzen, und tarnen Phishing-Dokumente als Rechnungen, Verträge, Personalformulare oder Lieferbenachrichtigungen, um Nutzer dazu zu verleiten, mit ihnen zu interagieren.
  • Schädliche Elemente in PDF-Dateien, wie eingebettete URLs, QR-Codes, Schaltflächen und Skripte, können Opfer auf Websites umleiten, die Anmeldedaten sammeln und so die Übernahme von Konten, Finanzbetrug oder den Missbrauch von Unternehmens-E-Mails ermöglichen.
  • Diese Angriffe sind schwerer zu erkennen, da sich viele Sicherheitstools auf Links im E-Mail-Text konzentrieren, anstatt Anhänge und die darin eingebetteten Aktionen eingehend zu analysieren.
  • Die Abwehr von PDF-Phishing erfordert einen mehrschichtigen Ansatz, der eine starke E-Mail-Authentifizierung (SPF, DKIM, DMARC), fortschrittliches Sandboxing für Anhänge, URL-Schutz sowie kontinuierliche Schulungen zur Sensibilisierung der Mitarbeiter für Sicherheitsfragen umfasst.

PDF-Dateien sind die Arbeitspferde der modernen Geschäftswelt. Sie wirken offiziell, lassen sich leicht weitergeben und genießen allgemeines Vertrauen bei Verträgen, Rechnungen, Personalformularen und Finanzberichten. Gerade diese Vertrautheit hat sie jedoch zu einer der mächtigsten Waffen im Arsenal von Cyberkriminellen gemacht.

Dies hat zu einem rasanten Anstieg von PDF-Phishing geführt – einer Technik, bei der scheinbar harmlose PDF-Dateien genutzt werden, um Sicherheitsvorkehrungen zu umgehen und Opfer dazu zu verleiten, ihre Zugangsdaten preiszugeben. Dieser umfassende Leitfaden erläutert die Funktionsweise von PDF-Phishing, warum es so effektiv ist, welche neuesten Techniken Angreifer einsetzen und welche konkreten Maßnahmen Ihr Unternehmen ergreifen muss, um sich dagegen zu schützen.

Was ist PDF-Phishing?

PDF-Phishing ist eine Art von Cyberangriff, bei dem eine bösartige PDF-Datei als E-Mail-Anhang versendet wird. Im Gegensatz zum herkömmlichen Phishing, bei dem der E-Mail-Text einen betrügerischen Link enthält, ist der Angriffsvektor beim PDF-Phishing direkt in das Dokument eingebettet. Das Ziel bleibt dasselbe: den Empfänger dazu zu verleiten, sensible Informationen wie Anmeldedaten, Finanzdaten oder persönliche Angaben preiszugeben.
Diese Angriffe sind so konzipiert, dass sie sich nahtlos in den täglichen Geschäftsablauf einfügen, und tarnen sich häufig als:

  • Überfällige Rechnungen oder Zahlungsbestätigungen
  • Dringende Bestellungen
  • Rechtliche Vereinbarungen oder Verträge, die eine Unterschrift erfordern
  • Personalunterlagen wie Leistungsübersichten oder Gehaltsabrechnungen
  • Versandbenachrichtigungen oder Benachrichtigungen über fehlgeschlagene Lieferungen

Innerhalb der PDF-Datei nutzen Angreifer verschiedene Methoden – eingebettete Hyperlinks, ausfüllbare Formulare oder QR-Codes –, um die Opfer auf gefälschte, aber äußerst überzeugende Websites umzuleiten, die darauf abzielen, Anmeldedaten zu stehlen.

Sobald ein Opfer seine Daten eingegeben hat, kann dies schwerwiegende Folgen haben:

  • Übernahme von E-Mail-Konten: Angreifer verschaffen sich Zugriff auf die interne Kommunikation
  • Finanzbetrug: Sie können betrügerische Überweisungen veranlassen oder die Daten für die direkte Einzahlung ändern.
  • Business Email Compromise (BEC): Das gehackte Konto wird genutzt, um andere Mitarbeiter, Partner oder Kunden anzusprechen.
  • Identitätsdiebstahl: Gestohlene persönliche Daten können verkauft oder für weitere Straftaten missbraucht werden.
  • Seitliche Bewegung: Das kompromittierte Konto dient als Sprungbrett, um gefährlichere Malware oder Ransomware im Netzwerk zu verbreiten.

Warum Angreifer PDF-Anhänge bevorzugen

Der Trend zum PDF-Phishing ist kein Zufall; er ist eine wohlüberlegte Reaktion auf verbesserte E-Mail-Sicherheit und menschliche Psychologie.

1. Das vorhandene Vertrauen und die Professionalität nutzen

PDF-Dateien sind der Standard für offizielle Dokumente. Wenn ein Mitarbeiter einen PDF-Anhang erhält, der scheinbar von einem bekannten Lieferanten oder Kollegen stammt, ist er naturgemäß weniger misstrauisch. Angreifer nutzen dieses Vertrauen aus, indem sie Firmenlogos, Schriftarten und Formulierungen akribisch nachahmen, sodass ihre gefälschten Dokumente von den echten nicht zu unterscheiden sind.

2. Verlagerung der Angriffsfläche auf den Anhang

Viele E-Mail-Sicherheitsgateways sind hervorragend darin, den Text und die Links im Hauptteil einer E-Mail zu scannen. Die Analyse des Inhalts eines Anhangs ist jedoch komplexer und ressourcenintensiver. Indem sie den schädlichen Link in eine PDF-Datei einbetten, verlagern Angreifer die Angriffsfläche effektiv an einen Ort, der möglicherweise weniger genau unter die Lupe genommen wird. Die E-Mail selbst kann harmlos wirken und lediglich eine einfache Zeile enthalten wie: „Anbei finden Sie das angeforderte Dokument.“

3. Die Nutzlast in aller Öffentlichkeit verstecken

PDF-Dateien bieten mehrere Ebenen, in denen sich ein bösartiger Link verstecken kann:

  • Hyperlink-Text: Ein scheinbar harmloser Satz wie „Klicken Sie hier, um die Rechnung anzuzeigen“ ist mit einer bösartigen Website verlinkt.
  • Schaltflächen und interaktive Elemente: Eingebettete Schaltflächen können so programmiert werden, dass sie beim Anklicken eine URL öffnen.
  • Grafische Überlagerungen: Angreifer können einen unsichtbaren Link über das Bild einer Schaltfläche legen, sodass jeder Klick auf diesen Bereich eine Weiterleitung auslöst.
  • Eingebettete QR-Codes: Diese als „Quishing“ bezeichnete Technik verbreitet sich rasant. Sie umgeht die Link-Analyse vollständig, da die URL in einem Bild verschlüsselt ist und nie als Text vorliegt.

4. Umgehung von URL-Reputationsprüfungen

Wenn ein Nutzer auf einen Link in einer E-Mail klickt, wird dieser häufig in Echtzeit mit einer Liste bekannter bösartiger Websites abgeglichen. Wenn ein Nutzer einen QR-Code aus einer PDF-Datei auf seinem Mobilgerät scannt, findet diese Echtzeitprüfung möglicherweise nicht statt oder erfolgt außerhalb des Sicherheitsperimeters des Unternehmens, wodurch der Angriff erfolgreich sein kann.

So funktioniert PDF-Phishing

Das Verständnis der zugrunde liegenden Mechanismen hilft dabei, bessere Abwehrmaßnahmen zu entwickeln.

Anatomie eines bösartigen PDF-Angriffsvektors

Der Aufbau einer schädlichen PDF-Datei

Ein PDF-Dokument ist im Wesentlichen ein Container für Text, Schriftarten, Bilder und interaktive Elemente. Angreifer manipulieren diese Struktur auf verschiedene Weise:

  • Die /OpenAction-Aktion: Dies ist ein zentraler Bestandteil der PDF-Spezifikation, der es ermöglicht, beim Öffnen eines Dokuments automatisch eine Aktion auszuführen, beispielsweise das Aufrufen einer Website. Zwar warnen moderne PDF-Reader die Benutzer in der Regel vor der Ausführung dieser Aktion, doch können Angreifer sie mit Social Engineering kombinieren, z. B. mit der Aufforderung: „Klicken Sie auf ‚OK‘, um das sichere Dokument anzuzeigen.“
  • URI-Aktionen (Uniform Resource Identifier): Dies ist die gängigste Methode. Einem Text oder einem Objekt innerhalb der PDF-Datei wird eine URI-Aktion zugewiesen. Wenn ein Benutzer darauf klickt, startet der PDF-Reader den Standardbrowser und ruft den eingebetteten Link auf.
  • JavaScript: PDF-Dateien können eingebettetes JavaScript enthalten. Obwohl dies häufig für legitime interaktive Formulare genutzt wird, können Angreifer es dazu verwenden, das Dokument zu manipulieren, Elemente auszublenden oder Weiterleitungen auszulösen – und zwar auf eine Weise, die für statische Analyse-Tools schwerer zu erkennen ist.

Digitale Signaturen in PDF-Dateien: Vertrauen, das missbraucht werden kann

PDF-Dateien enthalten häufig digitale Signaturen, also kryptografische Markierungen, mit denen die Identität des Unterzeichners überprüft und sichergestellt wird, dass das Dokument nicht verändert wurde. In seriösen Geschäftsabläufen werden digital signierte PDF-Dateien für Verträge, Beschaffungsunterlagen, Compliance-Berichte und finanzielle Genehmigungen verwendet, da sie eine fälschungssichere Überprüfung ermöglichen.

Angreifer nutzen in Phishing-Kampagnen manchmal das Vertrauen aus, das PDF-Signaturen entgegengebracht wird. Eine bösartige PDF-Datei kann einen scheinbar gültigen Signaturblock, ein Firmensiegel oder einen Hinweis auf ein „verifiziertes Dokument“ anzeigen, um die Empfänger davon zu überzeugen, dass die Datei authentisch ist. In Wirklichkeit handelt es sich bei dieser sichtbaren Signatur jedoch möglicherweise lediglich um ein Bild oder eine Grafik und nicht um eine echte kryptografische Signatur. Da viele Nutzer signierte Dokumente mit Legitimität assoziieren, kann dieser visuelle Trick Phishing-PDFs weitaus überzeugender erscheinen lassen.
Aus diesem Grund sollten Unternehmen ihre Mitarbeiter darin schulen, Signaturen mithilfe der Signaturprüfungswerkzeuge ihres PDF-Readers zu überprüfen, anstatt sich allein auf visuelle Signaturbilder zu verlassen.

Gängige PDF-Phishing-Techniken und Beispiele

Angreifer entwickeln ständig neue Methoden, doch einige Techniken sind nach wie vor weit verbreitet.

PDF-Phishing-Techniken und Beispiele

1. Die gefälschte Rechnung mit der Schaltfläche „Dokument anzeigen“

Das ist der Klassiker. Die Betreffzeile der E-Mail klingt dringlich: „Überfällige Rechnung von [Name des Anbieters]“. Die angehängte PDF-Datei zeigt eine professionell aussehende Rechnungsübersicht, doch die Details sind unscharf oder fehlen ganz. Ein großer, auffälliger Button trägt die Aufschrift „RECHNUNG ANZEIGEN“ oder „PDF HERUNTERLADEN“. Ein Klick auf diesen Button führt zu einer Phishing-Seite, die Microsoft 365, Google Drive oder das Portal des Anbieters imitiert und darauf ausgelegt ist, Ihre Anmeldedaten zu stehlen.

2. Die Anmeldeaufforderung für „geschützte Dokumente“

Diese Technik nutzt die Sicherheitserwartungen des Benutzers aus. Das PDF zeigt eine Meldung wie die folgende an: „Dieses Dokument ist passwortgeschützt. Bitte melden Sie sich mit Ihrer E-Mail-Adresse an, um Ihre Identität zu bestätigen und den Inhalt anzuzeigen.“ Darunter befindet sich ein Anmeldeformular, das direkt in das PDF eingebettet ist. Wenn ein Benutzer seine Anmeldedaten eingibt, werden diese entweder an einen vom Angreifer kontrollierten Server gesendet, oder das PDF selbst ist so manipuliert, dass die Daten beim Klicken auf die Schaltfläche „Absenden“ abgezogen werden.

3. QR-Code-Phishing („Quishing“)

Dies ist eine sich rasch verbreitende Betrugsmasche. Eine PDF-Datei kann einen Hinweis auf eine neue Unternehmensrichtlinie oder eine Aktualisierung der Zwei-Faktor-Authentifizierung (2FA) enthalten, zusammen mit einem QR-Code, den die Mitarbeiter mit ihrem Smartphone scannen sollen. Das Scannen des Codes führt zu einer gefälschten Anmeldeseite. Da der Nutzer sein privates Gerät verwendet, fehlen möglicherweise die Sicherheitskontrollen des Unternehmens, und die ursprüngliche URL ist verborgen, was es schwierig macht, die Seite als bösartig zu erkennen.

4. Angriffe mit einer Kombination aus VBA und PDF

In ausgefeilteren Kampagnen kann eine PDF-Datei einen Link enthalten, der nicht direkt auf eine Phishing-Seite führt. Stattdessen wird eine Datei heruntergeladen, beispielsweise ein .docm-Dokument (ein Word-Dokument mit aktivierten Makros). Dieses Dokument führt dann ein Skript aus, das die eigentliche Phishing-Seite oder die Malware-Nutzlast herunterlädt. Durch diesen mehrstufigen Ansatz lässt sich eine Erkennung in der Anfangsphase umgehen.

Warum PDF-Phishing schwerer zu erkennen ist

Die Umstellung auf PDF-Dateien führt bei vielen Organisationen zu einer erheblichen Informationslücke.

  • Erkennungslücken: Viele ältere E-Mail-Filter sind auf die Analyse von Textdaten ausgelegt. Sie haben Schwierigkeiten, die binäre Struktur einer PDF-Datei zu analysieren, alle eingebetteten Links zu extrahieren und anschließend den Inhalt dieser verlinkten Seiten zu analysieren.
  • Verschleierung ist einfach: Angreifer können URLs leicht verschleiern. Ein Link kann in Teile zerlegt und mit JavaScript wieder zusammengesetzt werden, oder die URL könnte hinter einer nicht standardmäßigen Kodierung innerhalb der PDF-Datei verborgen sein.
  • Das „gute“ PDF-Problem: Seriöse Marketingmaterialien, Newsletter und Geschäftsdokumente werden oft als PDF-Dateien mit eingebetteten Links versendet. Sicherheitsprogramme müssen zwischen einem harmlosen PDF-Dokument eines bekannten Absenders und einem bösartigen Dokument eines Betrügers unterscheiden – eine Aufgabe, die eine ausgefeilte Kontextanalyse erfordert.
  • Mehrstufige Umgehung: Die bösartige URL ist zum Zeitpunkt der Überprüfung möglicherweise nicht aktiv. Angreifer können eine Seite einrichten, die Sicherheits-Crawlern eine harmlose Meldung wie „In Bearbeitung“ anzeigt, echte Nutzer jedoch kurz darauf auf eine Phishing-Seite umleitet.

Warnzeichen: So erkennen Sie eine schädliche PDF-Datei

Mitarbeiter darin zu schulen, skeptisch zu sein, ist die letzte Verteidigungslinie. Man sollte ihnen beibringen, auf Folgendes zu achten:

  • Unerwartete Absender: Eine Rechnung von einem Unternehmen, mit dem Sie keine Geschäftsbeziehung unterhalten, oder ein Dokument der Personalabteilung außerhalb der Anmeldefrist.
  • Standardansprachen: Das PDF selbst wird möglicherweise mit „Sehr geehrter Kunde“ oder „Sehr geehrter Nutzer“ anstelle Ihres Namens eröffnet.
  • Dringlichkeit und Angst: Formulierungen wie „Ihr Konto wird gesperrt“ oder „Sofortige Zahlung erforderlich“ sind eine klassische Phishing-Taktik.
  • Anfragen nach Anmeldedaten: Seriöse Unternehmen bitten Sie so gut wie nie darum, Ihr Passwort einzugeben, um ein freigegebenes Dokument anzusehen.
  • Falsche Links: Bewegen Sie den Mauszeiger auf einem Computer über einen beliebigen Link oder eine Schaltfläche im PDF-Dokument, ohne darauf zu klicken. Die tatsächliche Ziel-URL wird in der Statusleiste Ihres PDF-Readers angezeigt. Wenn der Text „Rechnung anzeigen“ lautet, der Link jedoch auf eine verdächtige, falsch geschriebene Domain verweist (z. B. secure-login.company-update[.]com), handelt es sich um Phishing.
  • Ungewöhnliche Aufforderungen: Wenn Sie in der PDF-Datei aufgefordert werden, Funktionen zu aktivieren, Makros auszuführen oder die Verbindung zu einem externen Dienst zuzulassen, sollten Sie äußerst misstrauisch sein.

Wie Unternehmen PDF-Phishing verhindern können

Um dieser Bedrohung entgegenzuwirken, ist eine proaktive, mehrschichtige Verteidigung erforderlich.

1. Stärken Sie Ihre Sicherheitsvorkehrungen durch E-Mail-Authentifizierung

Führen Sie E-Mail-Authentifizierungsprotokolle ein, um Domain-Spoofing zu verhindern.

  • SPF (Sender Policy Framework): Legt fest, welche Server E-Mails von Ihrer Domain versenden dürfen.
  • DKIM (DomainKeys Identified Mail): Versieht Ihre E-Mails mit einer digitalen Signatur, um sicherzustellen, dass sie nicht manipuliert wurden.
  • DMARC (Domain-based Message Authentication, Reporting & Conformance): Teilt empfangenden Servern mit, wie sie vorgehen sollen, wenn eine E-Mail, die angeblich von Ihrer Domain stammt, die SPF- oder DKIM-Prüfung nicht besteht (z. B. in Quarantäne verschieben oder ablehnen). Dadurch wird es für Angreifer erheblich schwieriger, sich als Ihre vertrauenswürdigen Marken auszugeben.

2. Erstellen Sie eine erweiterte Sandbox-Umgebung für Anhänge und führen Sie eine Analyse durch

Ihr E-Mail-Sicherheitsgateway muss mehr leisten als nur eine einfache Dateiprüfung. Achten Sie auf Lösungen, die Folgendes bieten:

  • PDF-Analyse und Link-Extraktion: Das Tool sollte die PDF-Datei in einer sicheren, virtuellen Umgebung („Sandbox“) öffnen, um alle eingebetteten URLs, Schaltflächen und Skripte zu extrahieren und zu analysieren.
  • Computer Vision: KI-gestützte Tools können mithilfe von Computer Vision den Text auf einem PDF-Bild (wie einem QR-Code oder einer Schaltfläche) „lesen“ und ihn ebenso wie ein Mensch auf böswillige Absichten hin analysieren.
  • Verhaltensanalyse: Die Sandbox kann jeden Link anklicken, um zu sehen, wohin er führt, und analysiert die Zielseite auf Anzeichen für das Sammeln von Anmeldedaten.

3. Robusten URL-Schutz implementieren

Stellen Sie sicher, dass Ihre Sicherheitstools einen Echtzeit-Link-Schutz bieten, der über den ersten Klick hinausgeht. Selbst wenn ein Benutzer auf einen Link in einer PDF-Datei klickt, sollte die Lösung die Ziel-URL anhand aktueller Bedrohungsdaten überprüfen und den Zugriff blockieren, falls sie bösartig ist.

4. Kontinuierliche Schulungen zur Sensibilisierung der Mitarbeiter für Sicherheitsfragen

Technologie ist kein Allheilmittel. Regelmäßige, motivierende Schulungen sind entscheidend.

  • Simulierte Phishing-Kampagnen: Versenden Sie gefälschte Phishing-E-Mails im PDF-Format an Ihre Mitarbeiter, um deren Sensibilisierung zu testen und sofortiges Feedback zu erhalten.
  • Spezifische Schulungsmodule: Erstellen Sie Schulungen, die sich speziell mit „Quishing“, dem Zeigen mit der Maus auf Links in PDF-Dateien und dem Melden verdächtiger Anhänge befassen.
  • Eindeutige Meldeverfahren: Machen Sie es den Mitarbeitern so einfach wie möglich, verdächtige E-Mails mit einem einzigen Klick zu melden (z. B. über eine Schaltfläche „Phishing melden“ in Outlook).

5. Proaktive Bedrohungssuche

Achten Sie auf neu registrierte Domains, die Ihrem Firmennamen oder den Namen wichtiger Lieferanten ähneln. Angreifer richten solche Domains oft kurz vor dem Start einer Kampagne ein. Überwachen Sie Ihre Marke zudem online auf gefälschte Anmeldeseiten, die darauf abzielen, die Zugangsdaten Ihrer Mitarbeiter zu stehlen.

Abschließende Worte

PDF-Phishing stellt eine ernstzunehmende und wachsende Bedrohung dar, da es unser Vertrauen in ein allgegenwärtiges Dateiformat ausnutzt. Indem sie die schädliche Nutzlast aus dem E-Mail-Text in den Anhang verlagern, haben Angreifer einen zuverlässigen Weg gefunden, herkömmliche Abwehrmaßnahmen zu umgehen und selbst vorsichtige Nutzer zu täuschen.

Um dieser Bedrohung zu begegnen, ist eine moderne Strategie der mehrschichtigen Verteidigung erforderlich. Unternehmen müssen über einfache E-Mail-Filter hinausgehen und in fortschrittliche Anhangsanalysen, proaktive Bedrohungssuche sowie eine Kultur der Sicherheitsbewusstseinsbildung investieren, in der jeder Mitarbeiter als wichtiger Sensor fungiert. In dem sich ständig weiterentwickelnden Katz-und-Maus-Spiel der Cybersicherheit ist das Verständnis dafür, wie Angreifer alltägliche Tools wie PDF-Dateien als Waffen einsetzen, der erste und wichtigste Schritt zum Aufbau einer widerstandsfähigen Verteidigung.

Neueste Beiträge von Ahona Rudra (alle anzeigen)
Zuletzt aktualisiert:
Die Rolle von Online-Unternehmensschulungen bei Phishing-SimulationenGmail-verifiziert vs. Google-verifiziert„Gmail-verifiziert“ vs. „Google-verifiziert“: Was ist der Unterschied?