Phishing z wykorzystaniem plików PDF: Jak cyberprzestępcy wykorzystują dokumenty PDF w współczesnych atakach e-mailowych

Pliki PDF są podstawowym narzędziem współczesnego biznesu. Wyglądają oficjalnie, łatwo je udostępniać i cieszą się powszechnym zaufaniem w przypadku umów, faktur, formularzy kadrowych i sprawozdań finansowych. Jednak właśnie ta powszechna znajomość sprawiła, że stały się one jedną z najpotężniejszych broni w arsenale cyberprzestępców.

Doprowadziło to do gwałtownego wzrostu popularności phishingu PDF – techniki polegającej na wykorzystywaniu pozornie niewinnych plików PDF do omijania zabezpieczeń i nakłaniania ofiar do podania swoich danych uwierzytelniających. W tym obszernym przewodniku wyjaśniono, na czym polega phishing PDF, dlaczego jest tak skuteczny, jakie najnowsze techniki stosują atakujący oraz jakie konkretne kroki powinna podjąć Twoja organizacja, aby się przed nim chronić.

Czym jest phishing PDF?

Phishing PDF to rodzaj cyberataku, w którym złośliwy plik PDF jest wysyłany jako załącznik do wiadomości e-mail. W odróżnieniu od tradycyjnego phishingu, gdzie treść wiadomości zawiera fałszywy link, w przypadku phishingu PDF wektor ataku jest osadzony bezpośrednio w samym dokumencie. Cel pozostaje ten sam: nakłonienie odbiorcy do ujawnienia poufnych informacji, takich jak dane logowania, dane finansowe lub dane osobowe.
Ataki te są tak skonstruowane, aby płynnie wtapiać się w codzienne działania biznesowe, często podszywając się pod:

• Należności przeterminowane lub potwierdzenia płatności
• Pilne zamówienia
• Umowy prawne lub kontrakty wymagające podpisu
• Dokumenty kadrowe, takie jak zestawienia świadczeń lub aktualizacje listy płac
• Powiadomienia o wysyłce lub nieudanej dostawie

W pliku PDF cyberprzestępcy wykorzystują różne metody – osadzone hiperłącza, formularze do wypełnienia lub kody QR – aby przekierować ofiary na fałszywe, ale bardzo przekonujące strony internetowe służące do wyłudzania danych logowania.

Gdy ofiara poda swoje dane, konsekwencje mogą być poważne:

• Przejęcie konta e-mailowego: atakujący uzyskują dostęp do wewnętrznej komunikacji
• Oszustwa finansowe: Mogą oni inicjować fałszywe przelewy bankowe lub zmieniać dane dotyczące przelewów automatycznych.
• Ataki typu Business Email Compromise (BEC): Włamane konto służy do ataków na innych pracowników, partnerów lub klientów.
• Kradzież tożsamości: Skradzione dane osobowe mogą zostać sprzedane lub wykorzystane do popełnienia kolejnych przestępstw.
• Ruch boczny: Zhakowane konto służy jako punkt oparcia do wprowadzenia do sieci bardziej niebezpiecznego złośliwego oprogramowania lub oprogramowania ransomware.

Dlaczego cyberprzestępcy preferują załączniki w formacie PDF

Przejście na phishing z wykorzystaniem plików PDF nie jest przypadkowe; jest to przemyślana reakcja na zwiększone zabezpieczenia poczty elektronicznej oraz na psychologię ludzką.

1. Wykorzystanie naturalnego zaufania i profesjonalizmu

Pliki PDF są standardem w przypadku oficjalnej dokumentacji. Gdy pracownik otrzymuje załącznik w formacie PDF, który wygląda na pochodzący od znanego dostawcy lub współpracownika, naturalnie obniża swoją czujność. Atakujący wykorzystują to zaufanie, skrupulatnie kopiując logo firmowe, czcionki i styl pisania, aby ich fałszywe dokumenty były nie do odróżnienia od prawdziwych.

2. Przeniesienie powierzchni ataku na załącznik

Wiele bram bezpieczeństwa poczty elektronicznej doskonale radzi sobie ze skanowaniem tekstu i linków zawartych w treści wiadomości. Analiza zawartości załączników jest jednak bardziej złożona i wymaga większych zasobów. Umieszczając złośliwy link w pliku PDF, atakujący skutecznie przenoszą obszar ataku w miejsce, które może być poddawane mniej wnikliwej kontroli. Sama wiadomość e-mail może wyglądać na nieszkodliwą i zawierać jedynie prosty tekst, np. „W załączniku znajduje się żądany dokument”.

3. Ukrywanie ładunku na widoku

Pliki PDF zawierają wiele warstw, w których można ukryć złośliwy link:

• Tekst z hiperłączem: Pozornie nieszkodliwe sformułowanie, takie jak „Kliknij tutaj, aby wyświetlić fakturę”, zawiera link do złośliwej strony.
• Przyciski i elementy interaktywne: Wbudowane przyciski można zaprogramować tak, aby po kliknięciu otwierały adres URL.
• Nakładki graficzne: Atakujący mogą umieścić niewidoczny link na obrazku przycisku, tak że każde kliknięcie w tym obszarze powoduje przekierowanie.
• Wbudowane kody QR: Ta technika, znana jako „quishing”, zyskuje coraz większą popularność. Pozwala ona całkowicie ominąć analizę linków, ponieważ adres URL jest zakodowany w obrazie i nigdy nie występuje w postaci tekstowej.

4. Omijanie kontroli reputacji adresów URL

Gdy użytkownik klika link w wiadomości e-mail, jest on często sprawdzany w czasie rzeczywistym pod kątem obecności na liście znanych złośliwych stron. Gdy użytkownik skanuje kod QR z pliku PDF na swoim urządzeniu mobilnym, taka kontrola w czasie rzeczywistym może nie zostać przeprowadzona lub może nastąpić poza obszarem zabezpieczeń firmy, co umożliwia przeprowadzenie ataku.

Jak działa phishing z wykorzystaniem plików PDF

Zrozumienie podstawowych mechanizmów pomaga w tworzeniu skuteczniejszych zabezpieczeń.

Budowa złośliwego pliku PDF

Plik PDF to w zasadzie nośnik zawierający tekst, czcionki, obrazy i elementy interaktywne. Osoby atakujące manipulują tą strukturą na kilka sposobów:

• Akcja /OpenAction: Jest to kluczowy element specyfikacji formatu PDF, który umożliwia automatyczne wykonanie określonej czynności po otwarciu dokumentu, np. uruchomienie strony internetowej. Chociaż nowoczesne przeglądarki plików PDF zazwyczaj wyświetlają ostrzeżenie przed wykonaniem tej czynności, osoby atakujące mogą połączyć ją z technikami socjotechnicznymi, np. „Naciśnij OK, aby wyświetlić bezpieczny dokument”.
• Akcje URI (Uniform Resource Identifier): Jest to najczęściej stosowana metoda. Akcja URI jest przypisana do ciągu tekstowego lub obiektu w pliku PDF. Gdy użytkownik wejdzie z nim w interakcję, program do otwierania plików PDF uruchamia domyślną przeglądarkę i przechodzi do osadzonego linku.
• JavaScript: Pliki PDF mogą zawierać osadzony kod JavaScript. Chociaż często wykorzystuje się go do tworzenia legalnych formularzy interaktywnych, osoby atakujące mogą go używać do manipulowania dokumentem, ukrywania elementów lub wywoływania przekierowań w sposób trudniejszy do wykrycia przez narzędzia do analizy statycznej.

Podpisy cyfrowe w plikach PDF: zaufanie, które można nadużyć

Pliki PDF często zawierają podpisy cyfrowe, czyli znaczniki kryptograficzne służące do weryfikacji tożsamości osoby podpisującej oraz potwierdzenia, że dokument nie został zmieniony. W standardowych procesach biznesowych pliki PDF z podpisem cyfrowym są wykorzystywane w umowach, dokumentach przetargowych, raportach dotyczących zgodności z przepisami oraz zatwierdzeniach finansowych, ponieważ zapewniają one weryfikację uniemożliwiającą manipulację.

W kampaniach phishingowych osoby atakujące wykorzystują czasem poczucie zaufania związane z podpisami w plikach PDF. Złośliwy plik PDF może zawierać elementy wyglądające na prawidłowy blok podpisu, pieczęć firmową lub baner „dokument zweryfikowany”, aby przekonać odbiorców o autentyczności pliku. W rzeczywistości ten widoczny podpis może być po prostu obrazkiem lub grafiką, a nie prawdziwym podpisem kryptograficznym. Ponieważ wielu użytkowników kojarzy podpisane dokumenty z wiarygodnością, ta wizualna sztuczka może sprawić, że phishingowe pliki PDF będą wyglądały na znacznie bardziej przekonujące.
Z tego powodu organizacje powinny przeszkolić pracowników w zakresie weryfikacji podpisów przy użyciu narzędzi do sprawdzania podpisów w czytnikach plików PDF, zamiast polegać wyłącznie na wizualnych obrazach podpisów.

Typowe techniki phishingu wykorzystujące pliki PDF i przykłady

Atakujący nieustannie wprowadzają nowe rozwiązania, ale niektóre techniki nadal są powszechnie stosowane.

1. Fałszywa faktura z przyciskiem „Wyświetl dokument”

To klasyczny przykład. Temat wiadomości e-mail brzmi pilnie: „Przeterminowana faktura od [nazwa dostawcy]”. Załączony plik PDF zawiera profesjonalnie wyglądające podsumowanie faktury, ale szczegóły są zamazane lub brakuje ich. Duży, widoczny przycisk ma napis „WYŚWIETL FAKTURĘ” lub „POBIERZ PDF”. Kliknięcie tego przycisku prowadzi do strony phishingowej naśladującej Microsoft 365, Google Drive lub portal dostawcy, zaprojektowanej w celu wykradzenia danych logowania.

2. Monit o logowanie do „Zabezpieczonego dokumentu”

Technika ta wykorzystuje poczucie bezpieczeństwa użytkownika. W pliku PDF wyświetla się komunikat o treści: „Ten dokument jest chroniony hasłem. Zaloguj się, podając swój adres e-mail, aby zweryfikować swoją tożsamość i wyświetlić zawartość”. Poniżej znajduje się formularz logowania osadzony bezpośrednio w pliku PDF. Gdy użytkownik wprowadzi swoje dane logowania, są one albo przesyłane na serwer kontrolowany przez atakującego, albo sam plik PDF może być tak skonstruowany, aby wykraść dane po kliknięciu przycisku „Prześlij”.

3. Phishing z wykorzystaniem kodów QR („quishing”)

Jest to szybko zyskująca na popularności metoda oszustwa. Plik PDF może zawierać informację o nowej polityce firmy lub aktualizacji dotyczącej uwierzytelniania dwuskładnikowego (2FA), wraz z kodem QR, który pracownicy mają zeskanować za pomocą swoich telefonów. Zeskanowanie kodu prowadzi do sfałszowanej strony logowania. Ponieważ użytkownik korzysta z urządzenia prywatnego, może ono nie posiadać firmowych zabezpieczeń, a pierwotny adres URL jest ukryty, co utrudnia rozpoznanie zagrożenia.

4. Ataki łączące VBA i PDF

W bardziej wyrafinowanych kampaniach plik PDF może zawierać link, który nie prowadzi bezpośrednio do strony phishingowej. Zamiast tego powoduje on pobranie pliku, np. w formacie .docm (dokument programu Word z włączoną obsługą makr). Dokument ten uruchamia następnie skrypt, który pobiera ostateczną stronę phishingową lub złośliwe oprogramowanie. Takie wieloetapowe podejście pomaga uniknąć wykrycia na początkowym etapie.

Dlaczego phishing za pomocą plików PDF jest trudniejszy do wykrycia

Przejście na format PDF stanowi dla wielu organizacji poważny punkt niewidoczny.

• Luki w wykrywaniu: Wiele starszych filtrów poczty elektronicznej jest zoptymalizowanych pod kątem analizy tekstowej. Mają one trudności z analizą struktury binarnej pliku PDF, wyodrębnieniem wszystkich osadzonych linków, a następnie analizą treści stron, do których prowadzą te linki.
• Zamaskowanie jest łatwe: atakujący mogą z łatwością zamaskować adresy URL. Link może zostać podzielony na części i ponownie złożony za pomocą JavaScriptu, albo adres URL może zostać ukryty za pomocą niestandardowego kodowania w pliku PDF.
• Problem „dobrych” plików PDF: Legalne materiały marketingowe, biuletyny i dokumenty biznesowe są często wysyłane w formacie PDF z osadzonymi linkami. Narzędzia zabezpieczające muszą odróżniać nieszkodliwe pliki PDF od znanych nadawców od złośliwych plików pochodzących od osób podszywających się pod innych, co wymaga zaawansowanej analizy kontekstowej.
• Wielostopniowe unikanie wykrycia: Złośliwy adres URL może nie być aktywny w momencie skanowania. Atakujący mogą utworzyć stronę, która wyświetla robotom skanującym komunikat „W trakcie tworzenia”, ale chwilę później przekierowuje prawdziwych użytkowników na stronę phishingową.

Ostrzegawcze sygnały: jak rozpoznać złośliwy plik PDF

Kształcenie pracowników w duchu sceptycyzmu stanowi ostatnią linię obrony. Należy ich nauczyć zwracania uwagi na:

• Nieoczekiwani nadawcy: faktura od firmy, z którą nie prowadzisz interesów, lub dokument kadrowy poza okresem rekrutacji.
• Ogólne zwroty grzecznościowe: Sam plik PDF może zaczynać się od zwrotu „Szanowny Kliencie” lub „Szanowny Użytkowniku” zamiast od Państwa imienia i nazwiska.
• Pilność i strach: Sformułowania typu „Twoje konto zostanie zablokowane” lub „Wymagana jest natychmiastowa płatność” to klasyczna taktyka stosowana w phishingu.
• Prośby o podanie danych logowania: Prawdziwe firmy prawie nigdy nie proszą o podanie hasła w celu wyświetlenia udostępnionego dokumentu.
• Nieprawidłowe linki: Na komputerze najedź kursorem myszy na dowolny link lub przycisk w pliku PDF, nie klikając go. Rzeczywisty adres URL docelowy pojawi się na pasku stanu przeglądarki plików PDF. Jeśli tekst brzmi „Wyświetl fakturę”, ale link prowadzi do podejrzanej domeny z błędami ortograficznymi (np. secure-login.company-update[.]com), jest to próba wyłudzenia danych.
• Nietypowe komunikaty: Jeśli plik PDF prosi o włączenie funkcji, uruchomienie makr lub zezwolenie na połączenie z usługą zewnętrzną, należy podchodzić do niego z ogromną ostrożnością.

Jak organizacje mogą zapobiegać phishingowi za pomocą plików PDF

Aby zwalczyć to zagrożenie, konieczna jest proaktywna, wielopoziomowa ochrona.

1. Zabezpiecz swoją sieć dzięki uwierzytelnianiu wiadomości e-mail

Wprowadź protokoły uwierzytelniania poczty elektronicznej, aby zapobiec podszywaniu się pod domeny.

• SPF (Sender Policy Framework): Określa, które serwery mogą wysyłać wiadomości e-mail z Twojej domeny.
• DKIM (DomainKeys Identified Mail): Dodaje podpis cyfrowy do wiadomości e-mail, aby potwierdzić, że nie zostały one zmodyfikowane.
• DMARC (Domain-based Message Authentication, Reporting & Conformance): określa, jak serwery odbierające mają postąpić, jeśli wiadomość e-mail rzekomo pochodząca z Twojej domeny nie przejdzie kontroli SPF lub DKIM (np. poddać ją kwarantannie lub odrzucić). Dzięki temu atakującym znacznie trudniej jest podszywać się pod Twoje zaufane marki.

2. Wdrożenie zaawansowanego środowiska izolacyjnego i analizy załączników

Twoja brama zabezpieczająca pocztę elektroniczną musi wykraczać poza podstawowe skanowanie plików. Poszukaj rozwiązań, które oferują:

• Analiza plików PDF i wyodrębnianie linków: Narzędzie powinno otwierać plik PDF w bezpiecznym, wirtualnym środowisku („piaskownicy”) w celu wyodrębnienia i analizy wszystkich osadzonych adresów URL, przycisków i skryptów.
• Wizja komputerowa: Narzędzia oparte na sztucznej inteligencji mogą wykorzystywać wizję komputerową do „odczytywania” tekstu na obrazku w formacie PDF (np. kodu QR lub przycisku) i analizowania go pod kątem złośliwych intencji, tak jak zrobiłby to człowiek.
• Analiza zachowań: Środowisko testowe może klikać każdy link, aby sprawdzić, dokąd prowadzi, i analizować docelową stronę pod kątem oznak prób wyłudzenia danych uwierzytelniających.

3. Wprowadź skuteczne zabezpieczenia adresów URL

Upewnij się, że Twoje narzędzia zabezpieczające zapewniają ochronę linków w czasie rzeczywistym, wykraczającą poza moment pierwszego kliknięcia. Nawet jeśli użytkownik kliknie link w pliku PDF, rozwiązanie powinno sprawdzić adres docelowy pod kątem aktualnych informacji o zagrożeniach i zablokować dostęp, jeśli okaże się on złośliwy.

4. Ciągłe szkolenia z zakresu świadomości bezpieczeństwa dla pracowników

Technologia nie jest panaceum. Kluczowe znaczenie mają regularne, angażujące szkolenia.

• Symulowane kampanie phishingowe: Wysyłaj swoim pracownikom fałszywe wiadomości e-mail z załącznikami PDF w celu sprawdzenia ich świadomości i uzyskania natychmiastowej informacji zwrotnej.
• Moduły szkoleniowe: Opracuj szkolenia poświęcone konkretnie funkcji „quishing”, wskazówkom dotyczącym najeżdżania kursorem na linki w plikach PDF oraz zgłaszaniu podejrzanych załączników.
• Przejrzyste mechanizmy zgłaszania: Umożliw pracownikom niezwykle łatwe zgłaszanie podejrzanych wiadomości e-mail za pomocą jednego kliknięcia (np. przycisk „Zgłoś phishing” w programie Outlook).

5. Proaktywne wykrywanie zagrożeń

Należy monitorować nowo zarejestrowane domeny, które są podobne do nazwy Twojej firmy lub nazw kluczowych dostawców. Osoby atakujące często zakładają takie domeny na krótko przed rozpoczęciem kampanii. Należy również monitorować swoją markę w Internecie pod kątem fałszywych stron logowania, których celem jest wykradzenie danych uwierzytelniających pracowników.

Słowa końcowe

Phishing z wykorzystaniem plików PDF stanowi poważne i rosnące zagrożenie, ponieważ wykorzystuje nasze zaufanie do tego powszechnie stosowanego formatu plików. Przenosząc złośliwy kod z treści wiadomości e-mail do załącznika, cyberprzestępcy znaleźli skuteczny sposób na ominięcie tradycyjnych zabezpieczeń i oszukanie nawet najbardziej ostrożnych użytkowników.

Aby pokonać to zagrożenie, potrzebna jest nowoczesna strategia oparta na wielopoziomowej ochronie. Organizacje muszą wyjść poza podstawowe filtrowanie wiadomości e-mail i zainwestować w zaawansowaną analizę załączników, proaktywne wykrywanie zagrożeń oraz kulturę świadomości bezpieczeństwa, w której każdy pracownik pełni rolę kluczowego czujnika. W nieustannie ewoluującej grze w kotka i myszkę, jaką jest cyberbezpieczeństwo, zrozumienie, w jaki sposób atakujący wykorzystują do swoich celów codzienne narzędzia, takie jak pliki PDF, stanowi pierwszy i najważniejszy krok w budowaniu odpornej ochrony.

• O
• Latest Posts

Ahona Rudra

Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC

Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.

Latest posts by Ahona Rudra (zobacz wszystkie)

• Rekord SPF Avanan: jak skonfigurować, naprawić i zoptymalizować rekord SPF dla usługi Check Point Harmony Email - 7 maja 2026 r.
• Rekord SPF w systemie DNS: jak działa i jak go skonfigurować - 6 maja 2026 r.
• Czym jest v=spf1? Do czego służy? - 5 maja 2026 r.