Phishing: Jeder fünfte schädliche E-Mail-Anhang ist eine PDF-Datei

Der Sicherheitsanbieter Check Point warnt, dass inzwischen 68 Prozent aller bösartigen Angriffe per E-Mail erfolgen. Bei den schädlichen E-Mail-Anhängen dominieren zudem PDF-Dateien mit einem Anteil von 22 Prozent.

Mit laut Adobe über 400 Milliarden geöffneten PDF-Dateien im vergangenen Jahr sei das Dateiformat das ideale Vehikel für Cyberkriminelle, um bösartigen Code zu verstecken, so Check Point weiter. Hacker hätten mittlerweile verstanden, wie IT-Sicherheitslösungen Dateien scannen und analysieren, und setzten ausgeklügelte Gegenmaßnahmen ein, um einer Erkennung zu umgehen. „Check Point Research (CPR) hat zuletzt riesige Mengen an betrügerischen Kampagnen beobachtet, die von traditionellen Sicherheitsanbietern unentdeckt blieben und nicht bei VirusTotal gemeldet wurden“, so das Unternehmen weiter.

Das PDF-Format biete zudem eine Fülle von Funktionen, die für Umgehungsversuche genutzt werden könnten. Diese Komplexität öffne die Tür für zahlreiche Angriffsvektoren, die von einigen Sicherheitssystemen nur schwer erkannt werden könnten. Statt bekannter Schwachstellen in PDF-Readern setzen Hacker laut Check Point heute auf Social Engineering. „Cyber-Kriminelle greifen beim Phishing häufig auf PDFs zurück, weil das Format weithin als sicher und zuverlässig gilt. Die Dateien werden in der Regel als echte Dokumente wahrgenommen und dienen ihnen als Container für schädliche Links, verseuchten Code oder andere bösartige Inhalte“, ergänzte Check Point.

Am häufigsten beobachteten die Sicherheitsexperten von Check Point auf Links basierte Kampagnen. Sie beinhalteten in der Regel eine PDF-Datei, die einen Link zu einer Phishing-Website oder dem Download einer schädlichen Datei enthalte. Oft werde der Link von einem Bild oder einem Text begleitet, der das Opfer verleiten soll, darauf zu klicken. Die Bilder wiederum enthielten oft Nachahmungen vertrauenswürdiger Marken, wie Amazon, DocuSign oder Acrobat Reader, sodass die Datei auf den ersten Blick harmlos aussähen.

Zudem verwenden Cyberkriminelle der Untersuchung zufolge harmlose Umleitungsdienste wie Bing, LinkedIn oder die AMP-URLs von Google, um das Ziel von bösartigen Links zu verschleiern. Alternativ werden QR-Codes in PDFs eingebettet, die ein Opfer mit einem Mobilgerät scannen soll. Ein weiterer Ansatz ist Social Engineering, um Opfer zu verleiten, eine Telefonnummer anzurufen. Bei diesem Ansatz sei keine verdächtige URL erforderlich, dafür aber in erheblichem Maß menschliche Interaktion.

„Kampagnen wie diese sind schwer zu erkennen, weil die Angreifer alle Aspekte des Links, des Textes und des Bildes kontrollieren und diese Elemente leicht ändern können. Diese Flexibilität macht diese Angriffe resistent gegen Sicherheitsprogramme, die nach der Reputation, also dem guten Ruf einer Domain, filtern, oder solchen, die auf statischen Signaturen basieren“, teilte Check Point mit. „Obwohl diese Angriffe menschliche Interaktion erfordern, ist dies oft ein Vorteil für Angreifer, da Sandboxes und automatisierte Erkennungssysteme mit Aufgaben zu kämpfen haben, die menschliche Entscheidungen erfordern.“