• Phishing tramite PDF: come i criminali informatici sfruttano i documenti PDF negli attacchi e-mail moderni

Phishing tramite PDF: come i criminali informatici sfruttano i documenti PDF negli attacchi e-mail moderni

Blog

Scopri come funziona il phishing tramite PDF, in che modo gli hacker nascondono link dannosi e moduli per l'inserimento delle credenziali all'interno dei file PDF e come proteggerti dagli attacchi via e-mail che utilizzano i PDF.

di Ahona Rudra

Ultimo aggiornamento:
9 Tempo di lettura: 9 min
Phishing tramite PDF: come i criminali informatici sfruttano i documenti PDF negli attacchi e-mail moderni
Indice dei contenuti-

I punti chiave da prendere in considerazione

  • Il phishing tramite PDF è una tecnica di attacco via e-mail in rapida crescita, in cui i criminali informatici nascondono link dannosi, codici QR o moduli per l'inserimento delle credenziali all'interno di allegati PDF apparentemente legittimi.
  • Gli hacker sfruttano la fiducia che le persone ripongono nei file PDF, mascherando i documenti di phishing da fatture, contratti, moduli delle risorse umane o avvisi di consegna per indurre gli utenti a interagire con essi.
  • Elementi dannosi contenuti nei file PDF, come URL incorporati, codici QR, pulsanti e script, possono reindirizzare le vittime verso siti creati per sottrarre credenziali, consentendo così l'appropriazione indebita di account, frodi finanziarie o attacchi di tipo Business Email Compromise.
  • Questi attacchi sono più difficili da individuare perché molti strumenti di sicurezza si concentrano sui link presenti nel corpo dell'e-mail, anziché analizzare in modo approfondito gli allegati e le azioni in essi contenute.
  • Per difendersi dal phishing tramite PDF è necessario un approccio a più livelli, che includa un'autenticazione e-mail avanzata (SPF, DKIM, DMARC), un sistema avanzato di sandboxing degli allegati, la protezione degli URL e una formazione continua dei dipendenti in materia di sicurezza.

I file PDF sono il pilastro del mondo degli affari moderno. Hanno un aspetto ufficiale, sono facili da condividere e godono di fiducia universale per contratti, fatture, moduli delle risorse umane e rendiconti finanziari. Proprio questa loro diffusione, tuttavia, li ha resi una delle armi più potenti nell'arsenale dei criminali informatici.

Ciò ha portato alla rapida diffusione del phishing tramite PDF, una tecnica in cui file PDF apparentemente innocui vengono utilizzati per aggirare i sistemi di difesa e indurre le vittime a rivelare le proprie credenziali. Questa guida completa illustra i meccanismi del phishing tramite PDF, i motivi della sua efficacia, le tecniche più recenti utilizzate dagli hacker e le misure concrete che la vostra organizzazione deve adottare per difendersi.

Che cos'è il phishing tramite PDF?

Il phishing tramite PDF è un tipo di attacco informatico in cui un file PDF dannoso viene inviato come allegato e-mail. A differenza del phishing tradizionale, in cui il corpo dell'e-mail contiene un link fraudolento, nel phishing tramite PDF il vettore di attacco è incorporato direttamente all'interno del documento. L'obiettivo rimane lo stesso: indurre il destinatario a rivelare informazioni sensibili quali credenziali di accesso, dati finanziari o dati personali.
Questi attacchi sono progettati per mimetizzarsi perfettamente nelle normali attività aziendali, spesso presentandosi sotto forma di:

  • Fatture scadute o conferme di pagamento
  • Ordini di acquisto urgenti
  • Accordi legali o contratti che richiedono una firma
  • Documenti relativi alle risorse umane, come i riepiloghi dei benefici o gli aggiornamenti relativi alle buste paga
  • Avvisi di spedizione o notifiche di mancata consegna

All'interno del PDF, gli hacker utilizzano una serie di metodi – collegamenti ipertestuali incorporati, moduli compilabili o codici QR – per reindirizzare le vittime verso siti web falsi, ma estremamente convincenti, creati per sottrarre le credenziali di accesso.

Una volta che la vittima ha inserito i propri dati, le conseguenze possono essere gravi:

  • Compromissione dell'account e-mail: gli hacker ottengono l'accesso alle comunicazioni interne
  • Frode finanziaria: possono effettuare bonifici bancari fraudolenti o modificare i dati relativi al versamento diretto.
  • Business Email Compromise (BEC): l'account compromesso viene utilizzato per prendere di mira altri dipendenti, partner o clienti.
  • Furto d'identità: i dati personali rubati possono essere venduti o utilizzati per commettere ulteriori reati.
  • Movimento laterale: l'account compromesso funge da punto d'appoggio per diffondere malware o ransomware più pericolosi all'interno della rete.

Perché gli hacker preferiscono gli allegati in formato PDF

Il passaggio al phishing tramite PDF non è casuale; si tratta di una strategia mirata che tiene conto sia del rafforzamento della sicurezza delle e-mail sia della psicologia umana.

1. Sfruttare la fiducia e la professionalità che ci contraddistinguono

I PDF sono lo standard per la documentazione ufficiale. Quando un dipendente riceve un allegato in formato PDF da un mittente che sembra essere un fornitore o un collega conosciuto, tende naturalmente ad abbassare la guardia. Gli hacker sfruttano questa fiducia copiando meticolosamente loghi aziendali, caratteri tipografici e stile linguistico per rendere i loro documenti falsi indistinguibili da quelli autentici.

2. Spostare la superficie di attacco sull'allegato

Molti gateway di sicurezza della posta elettronica sono eccellenti nell’analizzare il testo e i link presenti nel corpo di un’e-mail. Tuttavia, l’analisi del contenuto di un allegato è più complessa e richiede maggiori risorse. Inserendo il link dannoso all’interno di un PDF, gli hacker spostano di fatto la superficie di attacco in un punto che potrebbe essere sottoposto a un controllo meno rigoroso. L’e-mail stessa può apparire innocua, contenendo solo una semplice frase del tipo: «In allegato troverete il documento richiesto».

3. Nascondere il payload in bella vista

I file PDF presentano diversi livelli in cui è possibile nascondere un link dannoso:

  • Testo con collegamento ipertestuale: una frase apparentemente innocua come «Clicca qui per visualizzare la fattura» rimanda a un sito dannoso.
  • Pulsanti ed elementi interattivi: i pulsanti incorporati possono essere programmati in modo da aprire un URL quando vengono cliccati.
  • Sovrapposizioni grafiche: gli hacker possono inserire un link invisibile sopra l'immagine di un pulsante, in modo che qualsiasi clic su quell'area attivi il reindirizzamento.
  • Codici QR incorporati: questa tecnica, nota come «quishing», sta prendendo rapidamente piede. Elude completamente l'analisi dei link poiché l'URL è codificato in un'immagine e non è mai presente sotto forma di testo.

4. Aggirare i controlli sulla reputazione degli URL

Quando un utente clicca su un link contenuto in un'e-mail, spesso viene effettuato un controllo in tempo reale confrontandolo con un elenco di siti noti come dannosi. Quando un utente scansiona un codice QR da un PDF sul proprio dispositivo mobile, tale controllo in tempo reale potrebbe non avvenire, oppure potrebbe avvenire al di fuori del perimetro di sicurezza aziendale, consentendo così all'attacco di andare a buon fine.

Come funziona il phishing tramite PDF

Comprendere i meccanismi alla base aiuta a mettere in atto difese più efficaci.

Analisi di un vettore di attacco PDF dannoso

La struttura di un file PDF dannoso

Un PDF è essenzialmente un contenitore di testo, caratteri, immagini ed elementi interattivi. Gli hacker manipolano questa struttura in diversi modi:

  • L'azione /OpenAction: si tratta di una componente fondamentale delle specifiche PDF che consente a un documento di eseguire automaticamente un'azione all'apertura, come ad esempio l'apertura di un sito web. Sebbene i moderni lettori PDF di solito avvisino gli utenti prima di eseguire tale operazione, gli hacker possono combinare questa funzione con tecniche di ingegneria sociale, ad esempio: «Premere OK per visualizzare il documento protetto».
  • Azioni URI (Uniform Resource Identifier): questo è il metodo più comune. A una stringa di testo o a un oggetto all'interno del PDF viene assegnata un'azione URI. Quando un utente interagisce con essa, il lettore PDF avvia il browser predefinito e apre il collegamento incorporato.
  • JavaScript: i file PDF possono contenere codice JavaScript incorporato. Sebbene venga spesso utilizzato per moduli interattivi legittimi, gli hacker possono sfruttarlo per manipolare il documento, nascondere elementi o attivare reindirizzamenti in modi che risultano più difficili da rilevare per gli strumenti di analisi statica.

Firme digitali nei PDF: una fiducia che può essere abusata

I file PDF contengono spesso firme digitali, ovvero marcatori crittografici utilizzati per verificare l'identità del firmatario e confermare che il documento non sia stato alterato. Nei flussi di lavoro aziendali legittimi, i file PDF firmati digitalmente vengono utilizzati per contratti, documenti di appalto, rapporti di conformità e approvazioni finanziarie, poiché garantiscono una verifica a prova di manomissione.

Gli hacker a volte sfruttano la percezione di affidabilità associata alle firme nei PDF nelle campagne di phishing. Un PDF dannoso può mostrare quello che sembra un blocco di firma valido, un timbro aziendale o un banner che indica che il documento è "verificato" per convincere i destinatari che il file sia autentico. In realtà, questa firma visibile potrebbe essere semplicemente un'immagine o un elemento grafico, anziché una vera firma crittografica. Poiché molti utenti associano i documenti firmati alla legittimità, questo stratagemma visivo può rendere i PDF di phishing molto più convincenti.
Per questo motivo, le organizzazioni dovrebbero istruire i dipendenti a verificare le firme utilizzando gli strumenti di convalida delle firme del proprio lettore PDF, anziché affidarsi esclusivamente alle immagini visive delle firme.

Tecniche comuni di phishing tramite PDF ed esempi

Gli hacker innovano continuamente, ma alcune tecniche continuano a essere molto diffuse.

Tecniche e esempi di phishing tramite PDF

1. La fattura falsa con il pulsante «Visualizza documento»

Questo è il classico. L'oggetto dell'e-mail è urgente: "Fattura scaduta da [Nome fornitore]". Il PDF allegato mostra un riepilogo della fattura dall'aspetto professionale, ma i dettagli sono sfocati o mancanti. Un pulsante grande e ben visibile recita "VISUALIZZA FATTURA" o "SCARICA PDF". Cliccando su questo pulsante si viene reindirizzati a una pagina di phishing che imita Microsoft 365, Google Drive o il portale del fornitore, progettata per rubare le tue credenziali.

2. La finestra di accesso «Documento protetto»

Questa tecnica sfrutta il senso di sicurezza dell'utente. Il PDF mostra un messaggio del tipo: «Questo documento è protetto da password. Effettua l'accesso con la tua e-mail per verificare la tua identità e visualizzare il contenuto». Sotto questo messaggio è presente un modulo di accesso incorporato direttamente nel PDF. Quando un utente inserisce le proprie credenziali, i dati vengono inviati a un server controllato dall'autore dell'attacco oppure il PDF stesso può essere manipolato in modo da sottrarre i dati quando si fa clic sul pulsante «Invia».

3. Phishing tramite codice QR (“Quishing”)

Si tratta di una tattica di attacco in rapida diffusione. Un file PDF potrebbe contenere un avviso relativo a una nuova politica aziendale o a un aggiornamento dell'autenticazione a due fattori (2FA), accompagnato da un codice QR che i dipendenti vengono invitati a scansionare con i propri telefoni. La scansione del codice reindirizza a una pagina di accesso contraffatta. Poiché l'utente utilizza il proprio dispositivo personale, questo potrebbe non disporre dei controlli di sicurezza aziendali e l'URL di origine risulta nascosto, rendendo difficile riconoscerlo come dannoso.

4. Attacchi ibridi VBA e PDF

Nelle campagne più sofisticate, un file PDF può contenere un link che non rimanda direttamente a una pagina di phishing. Al contrario, provoca il download di un file, ad esempio un .docm (documento Word con macro abilitate). Tale documento esegue quindi uno script che scarica la pagina di phishing finale o il payload del malware. Questo approccio in più fasi consente di eludere il rilevamento iniziale.

Perché il phishing tramite PDF è più difficile da individuare

Il passaggio ai PDF rappresenta un grave punto debole per molte organizzazioni.

  • Punti ciechi nel rilevamento: molti filtri di posta elettronica di vecchia generazione sono ottimizzati per l'analisi testuale. Hanno difficoltà a interpretare la struttura binaria di un PDF, a estrarre tutti i link incorporati e quindi ad analizzare il contenuto delle pagine collegate.
  • L'offuscamento è facile: gli hacker possono facilmente offuscare gli URL. Un link può essere suddiviso in parti e ricomposto tramite JavaScript, oppure l'URL può essere nascosto dietro una codifica non standard all'interno del PDF.
  • Il problema dei PDF "innocui": materiali di marketing, newsletter e documenti aziendali legittimi vengono spesso inviati in formato PDF con link incorporati. Gli strumenti di sicurezza devono distinguere tra un PDF innocuo proveniente da un mittente conosciuto e uno dannoso proveniente da un impostore, un compito che richiede un'analisi contestuale avanzata.
  • Evasione in più fasi: l'URL dannoso potrebbe non essere attivo al momento della scansione. Gli autori degli attacchi possono creare una pagina che mostra ai crawler di sicurezza un innocuo messaggio del tipo «In costruzione», ma che pochi istanti dopo reindirizza gli utenti reali verso un sito di phishing.

Segnali di allarme: come individuare un PDF dannoso

Insegnare ai dipendenti a essere scettici è l'ultima linea di difesa. Bisogna insegnare loro a prestare attenzione a:

  • Mittenti inaspettati: una fattura da un'azienda con cui non hai rapporti commerciali, oppure un documento delle Risorse Umane quando non è il periodo delle iscrizioni.
  • Saluti generici: il PDF potrebbe aprirsi con «Gentile cliente» o «Gentile utente» anziché con il tuo nome.
  • Urgenza e paura: frasi come «Il tuo account verrà sospeso» o «È richiesto il pagamento immediato» sono una classica tattica di phishing.
  • Richieste di credenziali di accesso: le aziende affidabili non chiedono quasi mai di inserire la password per visualizzare un documento condiviso.
  • Link non corrispondenti: sul computer, passa il mouse su un link o un pulsante qualsiasi nel PDF senza cliccarci sopra. L'URL di destinazione effettivo apparirà nella barra di stato del tuo lettore PDF. Se il testo recita "Visualizza fattura" ma il link rimanda a un dominio sospetto o con errori ortografici (ad es. secure-login.company-update[.]com), si tratta di un tentativo di phishing.
  • Richieste insolite: se il PDF ti chiede di abilitare alcune funzioni, eseguire macro o consentirgli di connettersi a un servizio esterno, trattalo con estrema diffidenza.

Come le organizzazioni possono prevenire il phishing tramite PDF

Per contrastare questa minaccia è necessaria una difesa proattiva e su più livelli.

1. Rafforza la tua sicurezza con l'autenticazione delle e-mail

Implementare protocolli di autenticazione delle e-mail per prevenire lo spoofing dei domini.

  • SPF (Sender Policy Framework): specifica quali server sono autorizzati a inviare e-mail dal tuo dominio.
  • DKIM (DomainKeys Identified Mail): aggiunge una firma digitale alle tue e-mail per verificare che non siano state manomesse.
  • DMARC (Domain-based Message Authentication, Reporting & Conformance): indica ai server destinatari come comportarsi nel caso in cui un'e-mail che dichiara di provenire dal tuo dominio non superi i controlli SPF o DKIM (ad esempio, metterla in quarantena o respingerla). Ciò rende molto più difficile per gli hacker spacciarsi per i tuoi marchi affidabili.

2. Implementare la sandboxing e l'analisi avanzate degli allegati

Il vostro gateway di sicurezza e-mail deve andare oltre la semplice scansione dei file. Cercate soluzioni che offrano:

  • Analisi sintattica dei PDF ed estrazione dei link: lo strumento dovrebbe aprire il PDF in un ambiente virtuale protetto (“sandbox”) per estrarre e analizzare tutti gli URL, i pulsanti e gli script incorporati.
  • Visione artificiale: gli strumenti basati sull'intelligenza artificiale possono avvalersi della visione artificiale per "leggere" il testo contenuto in un'immagine PDF (come un codice QR o un pulsante) e analizzarlo alla ricerca di intenti malevoli, proprio come farebbe un essere umano.
  • Analisi comportamentale: la sandbox può cliccare su ogni link per verificare dove conduce, analizzando la pagina di destinazione finale alla ricerca di indizi relativi alla raccolta di credenziali.

3. Implementare una protezione efficace degli URL

Assicurati che i tuoi strumenti di sicurezza offrano una protezione dei link in tempo reale che vada oltre il semplice clic iniziale. Anche se un utente clicca su un link contenuto in un PDF, la soluzione dovrebbe verificare l'URL di destinazione confrontandolo con informazioni aggiornate sulle minacce e bloccare l'accesso qualora risultasse dannoso.

4. Formazione continua sulla sicurezza per i dipendenti

La tecnologia non è una soluzione miracolosa. È fondamentale seguire una formazione regolare e coinvolgente.

  • Campagne di phishing simulate: invia ai tuoi dipendenti e-mail di phishing contenenti file PDF falsi per verificare il loro livello di consapevolezza e fornire un feedback immediato.
  • Moduli formativi specifici: creare corsi di formazione dedicati specificatamente al "quishing", alle modalità di visualizzazione dei link nei PDF e alle procedure per segnalare allegati sospetti.
  • Meccanismi di segnalazione chiari: rendere incredibilmente facile per i dipendenti segnalare le e-mail sospette con un solo clic (ad esempio, un pulsante "Segnala phishing" in Outlook).

5. Ricerca proattiva delle minacce

Controlla se vengono registrati nuovi domini simili al nome della tua azienda o a quelli dei tuoi principali fornitori. Gli hacker spesso creano questi domini poco prima di lanciare una campagna. Inoltre, monitora la presenza del tuo marchio online per individuare eventuali pagine di accesso fasulle create per rubare le credenziali dei tuoi dipendenti.

Parole finali

Il phishing tramite PDF rappresenta una minaccia grave e in continua crescita, poiché sfrutta a proprio vantaggio la fiducia che riponiamo in un formato di file ormai onnipresente. Spostando il codice dannoso dal corpo dell'e-mail all'allegato, gli hacker hanno trovato un modo efficace per aggirare le difese tradizionali e ingannare anche gli utenti più cauti.

Per sconfiggere questa minaccia è necessaria una strategia moderna basata sulla difesa a più livelli. Le organizzazioni devono andare oltre il semplice filtraggio delle e-mail e investire nell'analisi avanzata degli allegati, nella ricerca proattiva delle minacce e in una cultura della consapevolezza della sicurezza in cui ogni dipendente funga da sensore fondamentale. Nel gioco del gatto e del topo in continua evoluzione della sicurezza informatica, comprendere come gli aggressori sfruttino a proprio vantaggio strumenti di uso quotidiano come i PDF è il primo e più importante passo per costruire una difesa resiliente.

Ultimi messaggi di Ahona Rudra (vedi tutti)
Ultimo aggiornamento:
Il ruolo della formazione aziendale online nella simulazione di phishingVerificato da Gmail vs Verificato da GoogleGmail Verified vs Google Verified: qual è la differenza?