Negli ultimi mesi si è registrato un significativo aumento degli attacchi di phishing che utilizzano i file PDF come vettore principale. Secondo il team di ricerca Cisco Talos, i criminali informatici adottano tecniche sempre più sofisticate per ingannare gli utenti e aggirare i tradizionali sistemi di protezione.
Questo articolo analizza le principali modalità di attacco e fornisce indicazioni utili per riconoscerli e difendersi in modo efficace.
Cisco Talos: le principali minacce di phishing nei file PDF
Come funzionano e come difendersi
Il formato PDF è uno standard universale per la condivisione di documenti. Tuttavia, proprio per la sua diffusione e affidabilità percepita, è diventato un vettore privilegiato per campagne di phishing sempre più sofisticate.
Secondo un recente rapporto di Cisco Talos, i cybercriminali stanno sfruttando file PDF allegati alle e-mail per trarre in inganno gli utenti, impersonando marchi noti, inducendoli a cliccare su link pericolosi o persino a effettuare chiamate telefoniche verso numeri controllati dagli stessi criminali.
Attacchi tramite PDF: tecniche sempre più mirate
L’obiettivo principale di questi attacchi è convincere la vittima a interagire con il contenuto del PDF, spingendola a fornire dati sensibili, accedere a siti malevoli o contattare numeri di telefono gestiti dagli aggressori.
- Uso di loghi falsi di brand famosi come Microsoft o Adobe
- Messaggi ingannevoli come “Incremento della busta paga”
- Link camuffati che reindirizzano a pagine di phishing
Attacchi TOAD: phishing orientato al telefono
Una tecnica in crescita è quella nota come TOAD (Telephone-Oriented Attack Delivery). In questo caso, il file PDF invita la vittima a chiamare un numero di telefono indicato per risolvere un presunto problema o confermare una transazione.
I numeri sono spesso gestiti tramite VoIP, rendendo difficile il tracciamento. Durante la chiamata, il truffatore si finge operatore di assistenza, con l’obiettivo di ottenere informazioni sensibili o indurre l’utente a installare software dannosi.
Codici QR nei PDF: phishing che sfugge ai controlli
Un’altra modalità in crescita prevede l’inserimento di codici QR nei documenti PDF. All’apparenza innocui, questi codici reindirizzano l’utente verso pagine di phishing che imitano servizi legittimi.
Spesso, le pagine di destinazione sono protette da CAPTCHA per aumentare la credibilità. I contenuti, essendo “incapsulati” nel file, sono difficili da rilevare per i filtri antispam, soprattutto se non si utilizzano tecniche OCR (riconoscimento ottico dei caratteri).
Annotazioni e link nascosti nei PDF
I file PDF possono contenere annotazioni invisibili, commenti o campi nascosti in cui è possibile inserire link dannosi.
Questi elementi non sono immediatamente visibili all’utente, ma vengono attivati non appena si interagisce con il file. Gli aggressori possono anche inserire testo apparentemente legittimo per confondere i sistemi antispam o utilizzare URL abbreviati per nascondere la destinazione reale del link.
Impersonificazione dei brand nei file PDF
Una delle tecniche più sfruttate è l’impersonificazione di marchi famosi. I criminali informatici creano PDF che imitano perfettamente la grafica, il linguaggio e i loghi di aziende note, sfruttando la fiducia che gli utenti ripongono in questi nomi.
Cisco Talos ha monitorato un aumento significativo di queste campagne tra maggio e giugno 2025. I brand più frequentemente impersonati includono:
- Microsoft
- Adobe
- Dropbox
- PayPal
Grazie al sistema Cisco Secure Email Threat Defense, è stato possibile analizzare e classificare migliaia di attacchi di questo tipo, fornendo dati utili per il miglioramento dei sistemi di protezione.
Come proteggersi dal phishing tramite PDF
Difendersi da queste minacce è possibile, a patto di adottare strumenti efficaci e comportamenti consapevoli.
Buone pratiche per gli utenti
- Non aprire PDF da mittenti sconosciuti
- Evitare la scansione di codici QR sospetti
- Diffidare di messaggi che richiedono azioni urgenti
- Verificare sempre l’autenticità del mittente
Soluzioni per le aziende
- Utilizzare motori di rilevamento dell’impersonificazione del brand
- Adottare soluzioni e-mail basate su machine learning
- Formare regolarmente i dipendenti sul riconoscimento del phishing
- Implementare sistemi OCR per l’analisi dei contenuti PDF
Cisco, tramite il proprio ecosistema di sicurezza, offre strumenti come Cisco Secure Email Threat Defense, progettati per intercettare e bloccare le minacce più sofisticate prima che raggiungano gli utenti finali.
Conclusione
Gli attacchi di phishing via e-mail con file PDF sono in crescita e si evolvono rapidamente. Tecniche come il TOAD, i codici QR e le annotazioni nascoste aumentano la difficoltà di rilevamento.
Per contrastare queste minacce è fondamentale adottare un approccio multilivello: combinare tecnologia avanzata, attenzione quotidiana e formazione continua. La sicurezza e-mail deve essere una priorità, sia per gli utenti privati che per le aziende.
