• Phishing via pdf-bestanden: hoe cybercriminelen pdf-documenten misbruiken bij hedendaagse e-mailaanvallen

Phishing via pdf-bestanden: hoe cybercriminelen pdf-documenten misbruiken bij hedendaagse e-mailaanvallen

Blog

Ontdek hoe PDF-phishing werkt, hoe aanvallers schadelijke links en formulieren voor inloggegevens in PDF-bestanden verbergen, en hoe u zich kunt beschermen tegen PDF-aanvallen via e-mail.

door Ahona Rudra

Laatst bijgewerkt:
9 leestijd: 9 minuten
Phishing via pdf-bestanden: hoe cybercriminelen pdf-documenten misbruiken bij hedendaagse e-mailaanvallen
Inhoudsopgave-

Belangrijkste Conclusies

  • PDF-phishing is een snelgroeiende techniek voor e-mailaanvallen waarbij cybercriminelen schadelijke links, QR-codes of formulieren voor inloggegevens verbergen in ogenschijnlijk legitieme PDF-bijlagen.
  • Aanvallers maken misbruik van het vertrouwen dat mensen in pdf-bestanden stellen, door phishingdocumenten te vermommen als facturen, contracten, HR-formulieren of bezorgberichten om gebruikers ertoe te verleiden erop te reageren.
  • Kwaadaardige elementen in pdf-bestanden, zoals ingesloten URL’s, QR-codes, knoppen en scripts, kunnen slachtoffers omleiden naar websites die inloggegevens verzamelen, waardoor account-overname, financiële fraude of zakelijke e-mailcompromittering mogelijk wordt.
  • Deze aanvallen zijn moeilijker op te sporen omdat veel beveiligingstools zich richten op links in de tekst van e-mails, in plaats van bijlagen en de daarin verwerkte acties grondig te analyseren.
  • Om u tegen PDF-phishing te beschermen, is een gelaagde aanpak nodig, met onder meer krachtige e-mailverificatie (SPF, DKIM, DMARC), geavanceerde sandboxing van bijlagen, URL-beveiliging en voortdurende bewustwordingstrainingen voor medewerkers op het gebied van beveiliging.

PDF-bestanden zijn de werkpaarden van het moderne bedrijfsleven. Ze zien er officieel uit, zijn gemakkelijk te delen en genieten alom vertrouwen bij contracten, facturen, HR-formulieren en financiële rapporten. Juist deze vertrouwdheid heeft ze echter tot een van de krachtigste wapens in het arsenaal van cybercriminelen gemaakt.

Dit heeft geleid tot een snelle toename van PDF-phishing – een techniek waarbij ogenschijnlijk onschuldige PDF-bestanden worden gebruikt om beveiligingsmaatregelen te omzeilen en slachtoffers ertoe te verleiden hun inloggegevens prijs te geven. In deze uitgebreide gids wordt uitgelegd hoe PDF-phishing werkt, waarom deze methode zo effectief is, welke technieken aanvallers tegenwoordig gebruiken en welke concrete maatregelen uw organisatie moet nemen om zich hiertegen te beschermen.

Wat is PDF-phishing?

PDF-phishing is een vorm van cyberaanval waarbij een kwaadaardig PDF-bestand als bijlage bij een e-mail wordt verstuurd. In tegenstelling tot traditionele phishing, waarbij de e-mailtekst een frauduleuze link bevat, wordt bij PDF-phishing de aanvalsvector rechtstreeks in het document verwerkt. Het doel blijft hetzelfde: de ontvanger ertoe verleiden gevoelige informatie vrij te geven, zoals inloggegevens, financiële gegevens of persoonlijke gegevens.
Deze aanvallen zijn zo ontworpen dat ze naadloos opgaan in de dagelijkse bedrijfsvoering en doen zich vaak voor als:

  • Achterstallige facturen of betalingsbevestigingen
  • Dringende inkooporders
  • Juridische overeenkomsten of contracten die ondertekend moeten worden
  • HR-documenten zoals overzichten van secundaire arbeidsvoorwaarden of loonadministratie-updates
  • Verzendmeldingen of meldingen over mislukte leveringen

In de pdf maken aanvallers gebruik van verschillende methoden – ingebedde hyperlinks, invulformulieren of QR-codes – om slachtoffers door te verwijzen naar valse, maar zeer overtuigende websites die erop gericht zijn inloggegevens te stelen.

Zodra een slachtoffer zijn of haar gegevens invoert, kunnen de gevolgen ernstig zijn:

  • Overname van e-mailaccounts: aanvallers krijgen toegang tot interne communicatie
  • Financiële fraude: Ze kunnen frauduleuze overschrijvingen initiëren of gegevens voor automatische overschrijvingen wijzigen.
  • Business Email Compromise (BEC): Het gehackte account wordt gebruikt om andere medewerkers, partners of klanten te benaderen.
  • Identiteitsdiefstal: Gestolen persoonlijke gegevens kunnen worden verkocht of gebruikt voor verdere misdrijven.
  • Laterale beweging: het gehackte account dient als springplank om gevaarlijkere malware of ransomware binnen het netwerk te verspreiden.

Waarom aanvallers de voorkeur geven aan PDF-bijlagen

De verschuiving naar phishing via pdf-bestanden is geen toeval; het is een weloverwogen reactie op de verbeterde e-mailbeveiliging en de menselijke psychologie.

1. Inzetten op inherent vertrouwen en professionaliteit

PDF-bestanden zijn de standaard voor officiële documentatie. Wanneer een medewerker een PDF-bijlage ontvangt die afkomstig lijkt te zijn van een bekende leverancier of collega, is hij of zij van nature minder op zijn of haar hoede. Aanvallers maken misbruik van dit vertrouwen door bedrijfslogo’s, lettertypes en taalgebruik nauwkeurig na te bootsen, zodat hun valse documenten niet van de echte te onderscheiden zijn.

2. Het aanvalsoppervlak verplaatsen naar de bijlage

Veel e-mailbeveiligingsgateways zijn uitstekend in het scannen van de tekst en links in de hoofdtekst van een e-mail. Het analyseren van de inhoud van een bijlage is echter complexer en vergt meer middelen. Door de schadelijke link in een pdf-bestand te verwerken, verplaatsen aanvallers het aanvalsoppervlak in feite naar een plek die wellicht minder nauwkeurig wordt gecontroleerd. De e-mail zelf kan onschuldig lijken en slechts een eenvoudige zin bevatten, zoals: ‘Hierbij vindt u het gevraagde document in de bijlage.’

3. De lading in het volle zicht verbergen

PDF-bestanden bevatten meerdere lagen waarin een schadelijke link kan worden verborgen:

  • Tekst met hyperlink: Een ogenschijnlijk onschuldige zin als „Klik hier om de factuur te bekijken“ is gekoppeld aan een schadelijke website.
  • Knoppen en interactieve elementen: Ingebouwde knoppen kunnen zo worden geprogrammeerd dat ze een URL openen wanneer erop wordt geklikt.
  • Grafische overlays: Aanvallers kunnen een onzichtbare link over de afbeelding van een knop plaatsen, zodat elke klik op dat gebied de omleiding activeert.
  • Ingebedde QR-codes: Deze techniek, ook wel ‘quishing’ genoemd, wint snel aan populariteit. Ze omzeilt linkanalyse volledig, omdat de URL in een afbeelding is gecodeerd en nooit als tekst wordt weergegeven.

4. Het omzeilen van URL-reputatiecontroles

Wanneer een gebruiker op een link in een e-mail klikt, wordt deze vaak in realtime gecontroleerd aan de hand van een lijst met bekende schadelijke websites. Wanneer een gebruiker een QR-code uit een pdf-bestand op zijn mobiele apparaat scant, vindt die realtime controle mogelijk niet plaats, of vindt deze plaats buiten de beveiligingsperimeter van het bedrijf, waardoor de aanval kan slagen.

Hoe PDF-phishing werkt

Inzicht in de onderliggende mechanismen helpt bij het opzetten van betere verdedigingsmaatregelen.

Analyse van een kwaadaardige PDF-aanvalsvector

De opbouw van een kwaadaardige PDF

Een PDF is in wezen een verzameling van tekst, lettertypen, afbeeldingen en interactieve elementen. Aanvallers manipuleren deze structuur op verschillende manieren:

  • De /OpenAction-actie: Dit is een belangrijk onderdeel van de PDF-specificatie waarmee een document bij het openen automatisch een actie kan uitvoeren, zoals het openen van een website. Hoewel moderne PDF-lezers gebruikers doorgaans waarschuwen voordat dit gebeurt, kunnen aanvallers dit combineren met social engineering, bijvoorbeeld: „Klik op OK om het beveiligde document te bekijken.“
  • URI-acties (Uniform Resource Identifier): Dit is de meest gangbare methode. Aan een tekststring of een object in de PDF wordt een URI-actie toegewezen. Wanneer een gebruiker hierop reageert, opent de PDF-reader de standaardbrowser en gaat naar de ingesloten link.
  • JavaScript: PDF-bestanden kunnen ingebed JavaScript bevatten. Hoewel dit vaak wordt gebruikt voor legitieme interactieve formulieren, kunnen aanvallers het gebruiken om het document te manipuleren, elementen te verbergen of omleidingen te activeren op manieren die voor statische analysetools moeilijker te detecteren zijn.

Digitale handtekeningen in pdf-bestanden: vertrouwen dat misbruikt kan worden

PDF-bestanden bevatten vaak digitale handtekeningen, cryptografische markeringen die worden gebruikt om de identiteit van de ondertekenaar te verifiëren en te bevestigen dat het document niet is gewijzigd. In legitieme zakelijke processen worden digitaal ondertekende PDF-bestanden gebruikt voor contracten, aanbestedingsdocumenten, nalevingsrapporten en financiële goedkeuringen, omdat ze een verificatie bieden die aantoont of ermee is geknoeid.

Aanvallers maken in phishingcampagnes soms misbruik van het vertrouwen dat mensen hebben in PDF-handtekeningen. Een kwaadaardige PDF kan een ogenschijnlijk geldig handtekeningblok, een bedrijfsstempel of een banner met de tekst ‘geverifieerd document’ weergeven om ontvangers ervan te overtuigen dat het bestand authentiek is. In werkelijkheid kan deze zichtbare handtekening echter slechts een afbeelding of grafisch element zijn, en geen echte cryptografische handtekening. Omdat veel gebruikers ondertekende documenten associëren met legitimiteit, kan deze visuele truc ervoor zorgen dat phishing-PDF’s veel overtuigender overkomen.
Om deze reden moeten organisaties hun medewerkers trainen om handtekeningen te verifiëren met behulp van de handtekeningvalidatietools van hun PDF-reader, in plaats van alleen te vertrouwen op visuele afbeeldingen van handtekeningen.

Veelvoorkomende phishingtechnieken met PDF-bestanden en voorbeelden

Aanvallers blijven voortdurend nieuwe methoden bedenken, maar een aantal technieken blijft veel voorkomen.

PDF-phishingtechnieken en voorbeelden

1. De valse factuur met een knop ‘Document bekijken’

Dit is een klassieker. De onderwerpregel van de e-mail is urgent: “Achterstallige factuur van [naam leverancier]”. De bijgevoegde PDF toont een professioneel ogend factuuroverzicht, maar de details zijn wazig of ontbreken. Een grote, opvallende knop zegt “FACTUUR BEKIJKEN” of “PDF DOWNLOADEN”. Als u op deze knop klikt, komt u op een phishingpagina terecht die Microsoft 365, Google Drive of het portaal van de leverancier nabootst, ontworpen om uw inloggegevens te stelen.

2. Het inlogvenster voor „beveiligde documenten“

Deze techniek speelt in op het vertrouwen van de gebruiker in de beveiliging. De PDF toont een bericht als: „Dit document is met een wachtwoord beveiligd. Log in met uw e-mailadres om uw identiteit te verifiëren en de inhoud te bekijken.“ Daaronder staat een inlogformulier dat rechtstreeks in de PDF is ingebed. Wanneer een gebruiker zijn inloggegevens invoert, worden deze gegevens ofwel naar een door de aanvaller beheerde server verzonden, ofwel is de PDF zelf zo gemanipuleerd dat de gegevens worden gestolen zodra op de knop „Verzenden“ wordt geklikt.

3. Phishing via QR-codes („quishing“)

Dit is een snel opkomende manier om beveiliging te omzeilen. Een pdf-bestand kan een mededeling bevatten over een nieuw bedrijfsbeleid of een update met betrekking tot tweefactorauthenticatie (2FA), vergezeld van een QR-code die werknemers met hun telefoon moeten scannen. Het scannen van de code leidt naar een vervalste inlogpagina. Omdat de gebruiker zijn of haar eigen apparaat gebruikt, ontbreken daar mogelijk de beveiligingsmaatregelen van het bedrijf, en is de oorspronkelijke URL verborgen, waardoor het moeilijk is om te herkennen dat het om kwaadaardige software gaat.

4. Hybride VBA- en PDF-aanvallen

Bij geavanceerdere campagnes kan een pdf-bestand een link bevatten die niet direct naar een phishingpagina leidt. In plaats daarvan wordt er een bestand gedownload, zoals een .docm-bestand (een Word-document met ingeschakelde macro’s). Dat document voert vervolgens een script uit dat de uiteindelijke phishingpagina of de malware-payload downloadt. Deze aanpak in meerdere fasen helpt om de eerste detectie te omzeilen.

Waarom phishing via pdf-bestanden moeilijker te herkennen is

De overstap naar pdf’s zorgt bij veel organisaties voor een grote blinde vlek.

  • Blinde vlekken bij detectie: Veel verouderde e-mailfilters zijn geoptimaliseerd voor tekstgebaseerde analyse. Ze hebben moeite om de binaire structuur van een PDF te ontleden, alle ingesloten links te extraheren en vervolgens de inhoud van die gelinkte pagina’s te analyseren.
  • Verduistering is eenvoudig: aanvallers kunnen URL’s gemakkelijk verduisteren. Een link kan in delen worden opgesplitst en met JavaScript weer worden samengevoegd, of de URL kan worden verborgen achter een niet-standaard codering in de PDF.
  • Het ‘goede’ PDF-probleem: Legitieme marketingmaterialen, nieuwsbrieven en zakelijke documenten worden vaak als PDF-bestanden met ingesloten links verzonden. Beveiligingstools moeten onderscheid kunnen maken tussen een onschadelijke PDF van een bekende afzender en een kwaadaardige PDF van iemand die zich voordoet als die afzender, een taak die geavanceerde contextuele analyse vereist.
  • Meervoudige omleiding: Het kan zijn dat de kwaadaardige URL op het moment van scannen niet actief is. Aanvallers kunnen een pagina opzetten die aan beveiligingscrawlers een onschuldig bericht „In aanbouw“ toont, maar echte gebruikers even later doorverwijst naar een phishingsite.

Waarschuwingssignalen: hoe herken je een kwaadaardige PDF?

Medewerkers leren kritisch te zijn, is de laatste verdedigingslinie. Ze moeten leren letten op:

  • Onverwachte afzenders: een factuur van een bedrijf waarmee je geen zaken doet, of een HR-document terwijl het geen inschrijfperiode is.
  • Standaardbegroetingen: De pdf kan beginnen met „Geachte klant“ of „Geachte gebruiker“ in plaats van uw naam.
  • Dringende toon en angst: Zinnen als „Uw account wordt geblokkeerd“ of „Onmiddellijke betaling vereist“ zijn een klassieke phishing-tactiek.
  • Verzoeken om inloggegevens: Betrouwbare bedrijven vragen je vrijwel nooit om je wachtwoord in te voeren om een gedeeld document te bekijken.
  • Verkeerde links: Beweeg op een computer met de muis over een willekeurige link of knop in de PDF zonder te klikken. De daadwerkelijke bestemmings-URL verschijnt dan in de statusbalk van je PDF-reader. Als er ‘Factuur bekijken’ staat, maar de link verwijst naar een verdacht, verkeerd gespeld domein (bijv. secure-login.company-update[.]com), dan is het om phishing te doen.
  • Ongewone verzoeken: Als het PDF-bestand je vraagt om functies in te schakelen, macro’s uit te voeren of toestemming te geven voor verbinding met een externe dienst, wees dan uiterst op je hoede.

Hoe organisaties PDF-phishing kunnen voorkomen

Om deze dreiging het hoofd te bieden, is een proactieve, meerlagige verdediging nodig.

1. Versterk uw beveiliging met e-mailverificatie

Implementeer protocollen voor e-mailverificatie om domeinspoofing te voorkomen.

  • SPF (Sender Policy Framework): Hiermee wordt bepaald welke servers e-mail mogen versturen vanuit uw domein.
  • DKIM (DomainKeys Identified Mail): voegt een digitale handtekening toe aan uw e-mails om te controleren of er niet mee is geknoeid.
  • DMARC (Domain-based Message Authentication, Reporting & Conformance): geeft ontvangende servers instructies over wat ze moeten doen als een e-mail die beweert afkomstig te zijn van uw domein, niet voldoet aan de SPF- of DKIM-controles (bijvoorbeeld: deze in quarantaine plaatsen of weigeren). Dit maakt het voor aanvallers veel moeilijker om zich voor te doen als uw vertrouwde merken.

2. Implementeer geavanceerde sandboxing en analyse van bijlagen

Uw e-mailbeveiligingsgateway moet meer doen dan alleen bestanden scannen. Zoek naar oplossingen die het volgende bieden:

  • DF-parsing en link-extractie: De tool moet de PDF openen in een veilige, virtuele omgeving („sandbox“) om alle ingesloten URL’s, knoppen en scripts te extraheren en te analyseren.
  • Computer Vision: AI-gestuurde tools kunnen met behulp van computer vision de tekst op een PDF-afbeelding (zoals een QR-code of een knop) ‘lezen’ en deze op kwaadwillige bedoelingen analyseren, net zoals een mens dat zou doen.
  • Gedragsanalyse: De sandbox kan op elke link klikken om te zien waar deze naartoe leidt, en analyseert de uiteindelijke bestemmingspagina op tekenen van het verzamelen van inloggegevens.

3. Zorg voor een degelijke URL-beveiliging

Zorg ervoor dat uw beveiligingstools realtime bescherming tegen schadelijke links bieden die verder gaat dan de eerste klik. Zelfs als een gebruiker op een link in een pdf-bestand klikt, moet de oplossing de bestemmings-URL toetsen aan actuele informatie over bedreigingen en de toegang blokkeren als deze schadelijk blijkt te zijn.

4. Doorlopende bewustwordingstrainingen op het gebied van veiligheid voor medewerkers

Technologie is geen wondermiddel. Regelmatige, boeiende training is van cruciaal belang.

  • Gesimuleerde phishingcampagnes: stuur valse phishing-e-mails met PDF-bijlagen naar uw medewerkers om hun bewustzijn te testen en direct feedback te geven.
  • Specifieke trainingsmodules: Stel trainingen samen die specifiek ingaan op het ‘quishen’, het aanwijzen van links in pdf-bestanden en het melden van verdachte bijlagen.
  • Duidelijke meldingsprocedures: zorg ervoor dat medewerkers verdachte e-mails heel eenvoudig met één muisklik kunnen melden (bijvoorbeeld via een knop ‘Phishing melden’ in Outlook).

5. Proactief opsporen van bedreigingen

Houd in de gaten of er nieuwe domeinnamen worden geregistreerd die lijken op uw bedrijfsnaam of die van belangrijke leveranciers. Aanvallers registreren deze domeinnamen vaak kort voordat ze een campagne lanceren. Houd uw merk ook online in de gaten op valse inlogpagina’s die zijn ontworpen om de inloggegevens van uw medewerkers te stelen.

Laatste woorden

PDF-phishing vormt een ernstige en steeds groter wordende bedreiging, omdat het misbruik maakt van ons vertrouwen in een alomtegenwoordig bestandsformaat. Door de schadelijke code niet meer in de tekst van de e-mail zelf, maar in de bijlage te plaatsen, hebben aanvallers een betrouwbare manier gevonden om traditionele beveiligingsmaatregelen te omzeilen en zelfs voorzichtige gebruikers te misleiden.

Om deze dreiging het hoofd te bieden, is een moderne, meerlaagse beveiligingsstrategie nodig. Organisaties moeten verder gaan dan eenvoudige e-mailfiltering en investeren in geavanceerde analyse van bijlagen, proactieve dreigingsopsporing en een cultuur van beveiligingsbewustzijn waarin elke medewerker een cruciale waarnemer is. In het voortdurend veranderende kat-en-muisspel van cyberbeveiliging is inzicht in de manier waarop aanvallers alledaagse hulpmiddelen zoals pdf’s als wapen inzetten, de eerste en belangrijkste stap bij het opbouwen van een veerkrachtige verdediging.

Laatste berichten van Ahona Rudra (Bekijk alle berichten)
Laatst bijgewerkt:
De rol van online bedrijfstrainingen bij phishing-simulatiesGmail-geverifieerd versus Google-geverifieerdGmail-geverifieerd versus Google-geverifieerd: wat is het verschil?