PDFs: Tragbare Dokumente oder trojanisches Pferd für Phishing?

Gefälschte PDF-Dokumente im Namen von Microsoft, DocuSign und Dropbox im Umlauf + Cyberkriminelle setzen zunehmend auf manipulierte PDF-Dateien, um in raffinierten Phishing-Kampagnen als bekannte Unternehmen wie Microsoft, DocuSign oder Dropbox aufzutreten. Das berichtet das Sicherheitsteam von Cisco Talos.

Demnach häufen sich Angriffe, bei denen PDF-Anhänge in täuschend echter Aufmachung genutzt werden, um das Vertrauen der Empfänger zu erschleichen. Die Dokumente sind mit Markenlogos, QR-Codes und eingebetteten Links versehen, die Nutzer dazu verleiten sollen, persönliche Daten preiszugeben oder unbemerkt Kontakt zu den Angreifern herzustellen.

Laut einer aktuellen Analyse von Cisco hat die Anzahl solcher Attacken deutlich zugenommen. Die Kriminellen weiten ihre Masche auf eine immer größere Zahl namhafter Marken aus und setzen gezielt auf das Vertrauen der Nutzer in bekannte Dienste.

Cisco hat seine Engine zur Erkennung von Markenimitationen in E-Mails aktualisiert. Das neue Update verbessert die Erkennungsrate und erweitert den Schutz auf eine größere Zahl bekannter Marken, die häufig in Verbindung mit schädlichen PDF-Anhängen missbraucht werden.

Ein erheblicher Teil dieser E-Mail-Bedrohungen nutzt sogenannte PDF-Payloads, um Empfänger dazu zu bewegen, telefonisch Kontakt aufzunehmen – mit Nummern, die unter der Kontrolle der Angreifer stehen. Dabei kommt eine Social-Engineering-Methode zum Einsatz, die unter dem Namen Telephone-Oriented Attack Delivery (TOAD) oder Callback-Phishing bekannt ist.

Laut Cisco Talos greifen die Täter dabei häufig auf Voice over IP (VoIP) zurück, um ihre Identität zu verschleiern. Teilweise werden die gleichen Telefonnummern an mehreren Tagen in Folge eingesetzt. Zudem dokumentierte Talos Fälle, in denen die Adobe-Plattform genutzt wurde, um manipulierte PDF-Dateien im Rahmen solcher TOAD-Kampagnen zu versenden.

Als Reaktion auf diese Entwicklung plant Talos, künftig auch Telefonnummern als Indikatoren für Kompromittierung (Indicators of Compromise, IOCs) systematisch zu erfassen. Ergänzend liefern die Analysten neue Erkenntnisse zur Verwendung von QR-Codes und PDF-Kommentaren, die gezielt eingesetzt werden, um Phishing-Dokumente als seriöse Inhalte bekannter Marken erscheinen zu lassen.

Markenimitation über PDF-Payload

Das Portable Document Format (PDF) ist ein Standardverfahren für den elektronischen Austausch von Informationen. Dateien, die in anderen Anwendungen (z. B. Microsoft Word) erstellt wurden, werden häufig in dieses Format konvertiert, das dann mit PDF-Anzeigeprogrammen wie Adobe Reader, die auf den meisten Betriebssystemen verfügbar sind, angezeigt werden kann. Dank seiner hervorragenden Portabilität wird dieses Dateiformat häufig für die Massenverteilung von Dokumenten an ein großes Publikum verwendet. In den letzten Monaten wurde es jedoch auch für illegale Zwecke wie Markenimitation missbraucht.

Markenimitation ist eine Social-Engineering-Technik, die die Popularität bekannter Marken ausnutzt, um E-Mail-Empfänger zur Preisgabe sensibler Informationen zu verleiten. Wie in unserem vorherigen Blogbeitrag erläutert, können Angreifer Markenlogos und -namen mithilfe verschiedener Arten von Payloads an ihre Opfer übermitteln. Eine der gängigsten Methoden zur Übermittlung von Markenlogos und -namen sind PDF-Payloads (oder Anhänge).

In einigen Fällen wird die gesamte E-Mail, einschließlich des Markenlogos, in einen PDF-Anhang eingebettet. Abbildung 1 zeigt ein Beispiel für eine QR-Code-Phishing-E-Mail, die sich als E-Mail der Microsoft Corporation ausgibt. Der Angreifer verwendete eine verlockende Betreffzeile („Paycheck Increment“ – Gehaltserhöhung) und versendete die E-Mail strategisch zu einem Zeitpunkt, zu dem in vielen Unternehmen Beförderungen oder Leistungsbewertungen anstehen.

Eine QR-Code-Phishing-E-Mail, die sich als Microsoft ausgibt.

In anderen Fällen ist das Firmenlogo in einem separaten Bild oder PDF-Anhang enthalten und wird dem Opfer angezeigt, sobald es die E-Mail öffnet. Nachfolgend finden Sie ein Beispiel für eine QR-Code-Phishing-E-Mail, die sowohl die Marken Microsoft als auch Adobe Inc. vortäuscht. Abbildung zeigt das Adobe-Logo, das als Bilddatei an eine E-Mail angehängt is

Eine QR-Code-Phishing-E-Mail, die sich als E-Mail von Microsoft und Adobe ausgibt.

Das Logo einer Marke ist möglicherweise nicht immer in jedem Versuch einer Markenimitierung vorhanden. Die folgende Phishing-E-Mail, die die Marke Adobe imitiert, enthält beispielsweise keine Logos.

Eine Phishing-E-Mail, die sich als Adobe ausgibt.

Wenn das Opfer auf den Hyperlink „View the Attached online here“ (Anhang hier online anzeigen) klickt, wird es auf eine Phishing-Seite weitergeleitet, die eine Webseite von Dropbox, Inc. imitiert.

Phishing-Seite, die sich als Dropbox-Download-Seite ausgibt.

Die letzte Phishing-Seite der oben genannten E-Mail, die sich als Dropbox ausgibt.

Quelle aller Grafiken: Cisco Talos

Wie Cyberkriminelle mit TOAD angreifen

Immer häufiger setzen Cyberkriminelle auf eine heimtückische Masche: PDF-Dokumente in E-Mails, die die Empfänger dazu verleiten sollen, eine angeblich dringend notwendige Telefonnummer anzurufen. Diese Methode ist unter dem Namen Telefonorientierte Angriffsausführung (TOAD) oder auch Callback-Phishing bekannt – eine besonders raffinierte Form des Social Engineering.

Die Masche funktioniert so: In der PDF wird ein dringendes Problem geschildert – etwa eine verdächtige Transaktion oder eine notwendige Kontoüberprüfung. Wer der Aufforderung folgt und die angegebene Nummer wählt, landet jedoch nicht bei einer echten Kundenhotline, sondern direkt bei den Betrügern. Diese geben sich als seriöse Mitarbeitende von Banken, Versandhändlern oder IT-Diensten aus und nutzen das Vertrauen am Telefon, um sensible Daten zu erbeuten oder das Opfer zur Installation von Schadsoftware zu bewegen.

Übersicht über einen typischen TOAD-Angriff

Gefälschte Markenauftritte gehören zu den beliebtesten Tricks im Repertoire von Cyberkriminellen. Immer wieder geben sich Angreifer in E-Mails als bekannte Unternehmen aus – sei es durch täuschend echte Logos, Domains oder Kommunikationsstile. Dieses sogenannte Brand Impersonation ist eine gängige Social-Engineering-Taktik, um Vertrauen zu erschleichen und Nutzende zur Preisgabe sensibler Daten zu verleiten.

Um solchen Angriffen wirksam zu begegnen, sind Erkennungssysteme für Markenimitationen von zentraler Bedeutung. Sie analysieren Inhalte und Absenderinformationen automatisiert auf Hinweise gefälschter Identitäten und bilden damit eine wichtige Verteidigungslinie gegen betrügerische E-Mails.

---