Wouter Hoeffnagel - 16 april 2021

Hoeveelheid gevaarlijke PDF-bestanden sterk gestegen

Hoeveelheid gevaarlijke PDF-bestanden sterk gestegen image

Een enorme toename in gevaarlijke PDF-bestanden is zichtbaar tussen 2019 en 2020. het aantal gevaarlijke PDF-bestanden steeg met 1.160% van 411.800 naar 5.224.056. PDF-bestanden zijn een aantrekkelijke phishing methode. PDF's zijn cross-platform en komen geloofwaardiger over dan een e-mailbericht met enkel een klikbare link en zijn daardoor een populaire manier voor cybercriminelen om te phishen.

Dit blijkt uit onderzoek van Unit 42, het threat intelligence-team van Palo Alto Networks, naar phishing trends met PDF-bestanden. De meest gebruikte methodes bij aanvallen met gevaarlijke PDF-bestanden zijn ingedeeld in vijf categorieën: Fake CAPTCHA, Coupon, Play Button, File Sharing, en E-commerce. We zoomen in op deze methodes.

  • Fake CAPTCHA: Fake CAPTCHA vraagt gebruikers om zich te verifiëren via een vervalste CAPTCHA in de vorm van een PDF-afbeelding. Zodra gebruikers zich proberen te ‘verifiëren’ klikken ze op de PDF-afbeelding en worden ze doorgeleid naar een gevaarlijke website, waar cybercriminelen vervolgens gevoelige informatie stelen.
  • Coupon: Coupon maakt gebruik van van dezelfde truc, alleen lokken cybercriminelen gebruikers hier via een klikbare afbeelding van een kortingscoupon naar een gevaarlijke website.
  • Play Button: Play Button doet dit door een PDF-afbeelding te laten zien met een klikbare afspeelknop. Hierbij wordt vaak een afbeelding van een financieel onderwerp gebruikt, bijvoorbeeld van Bitcoin of de beurskoers.
  • File Sharing: File Sharing gebruikt populaire platforms als OneDrive om de aandacht van de gebruiker te trekken. De gebruiker wordt daarbij geïnformeerd dat iemand een bestand wil delen om zo een klik uit te lokken.
  • E-commerce: Het inzetten van e-commerce in phishing-berichten is niet nieuw, maar er is wel een aanzienlijke toename vastgesteld in het gebruik van deze methode. Bekende e-commerce merken zoals bijvoorbeeld Amazon Prime worden steeds vaker ingezet om gebruikers uit te lokken door een klikbare PDF-afbeelding te laten zien waarin staat dat “betalingsgegevens geüpdate moeten worden”. Ook hier leidt een klik naar een gevaarlijke website waar cybercriminelen hun gang kunnen gaan met gevoelige informatie.

Wanneer gebruikers binnen een organisatie slachtoffer worden van phishing-berichten, kan dat ervoor zorgen dat gevoelige informatie van een organisatie in handen komt van cybercriminelen. Palo Alto Networks noemt het voor organisaties daarom belangrijk zich te weren tegen bovengenoemde phishing-trends om gaten in de cybersecurity te voorkomen.

Axians 12/11/2024 t/m 26/11/2024 BN+BW