Sommario
L’analisi condotta da Cisco Talos Intelligence conferma che il PDF è oggi uno dei formati preferiti dagli aggressori per campagne di phishing, con particolare enfasi sulla impersonificazione di marchi e l’utilizzo di tecniche evolute come il Telephone-Oriented Attack Delivery (TOAD). L’aggiornamento recente del motore di rilevamento Cisco per l’impersonificazione di brand estende la copertura a una gamma più ampia di aziende frequentemente imitate in allegati PDF.
Strategie di impersonificazione via PDF: loghi, QR code e catene di phishing
Gli attaccanti integrano all’interno dei PDF loghi, grafica e link che simulano comunicazioni ufficiali di grandi brand come Microsoft, Adobe, PayPal e Docusign. Le e-mail di phishing presentano spesso oggetti accattivanti (“Paycheck Increment”, “Promozione aziendale”) e possono includere QR code che reindirizzano le vittime a pagine di phishing camuffate da portali legittimi, spesso protette da CAPTCHA per ostacolare l’analisi automatizzata. In alcuni casi, la truffa non contiene nemmeno il logo, ma sfrutta link o pulsanti che rimandano a pagine di accesso false (ad esempio, Dropbox).
TOAD: il phishing che si sposta dalla rete alla voce
Una quota crescente di allegati PDF persuade le vittime a chiamare numeri di telefono VoIP controllati dagli attaccanti. Il TOAD trasforma l’ingegneria sociale in interazione diretta: la vittima, convinta di dover risolvere un problema urgente, telefona a un presunto operatore e viene manipolata affinché divulghi credenziali sensibili o installi malware. I numeri telefonici, spesso riciclati su più giorni, sfuggono ai sistemi di intelligence tradizionali, complicando la risposta tempestiva degli analisti di sicurezza.
Abusi delle piattaforme cloud e firme elettroniche
Talos ha osservato casi in cui servizi di firma elettronica (ad esempio Adobe Sign) vengono sfruttati per recapitare PDF malevoli direttamente tramite piattaforme cloud legittime. Questo espediente incrementa la fiducia nella comunicazione e permette di superare i filtri antispam che si basano sull’analisi dei link o del testo.
QR code e annotazioni PDF: elusione delle difese e complessità di detection
L’utilizzo di QR code nei PDF rappresenta una tecnica sempre più popolare: la scansione reindirizza le vittime a siti di phishing, spesso nascosti dietro CAPTCHA per aggirare i filtri automatici. Gli attaccanti sfruttano inoltre le annotazioni interne ai PDF (commenti, sticky note, form) per inserire link malevoli che non sono immediatamente visibili nell’interfaccia del documento. Alcuni file includono rumore testuale o URL abbreviati per aumentare la difficoltà di identificazione da parte dei motori di sicurezza.
Trend, distribuzione geografica e brand più colpiti
Dai dati raccolti tra maggio e giugno 2025 emerge che Microsoft, Docusign, NortonLifeLock, PayPal e Geek Squad sono i brand più frequentemente imitati nelle campagne di phishing con allegati PDF. Gli indirizzi IP di origine dei tentativi di impersonificazione sono distribuiti sia a livello locale che internazionale, dimostrando la portata globale della minaccia.
Difese e rilevamento: ruolo dell’intelligenza artificiale e delle regole evolute
La protezione contro la impersonificazione di brand richiede l’adozione di sistemi di rilevamento avanzati, in grado di analizzare non solo il contenuto testuale, ma anche elementi grafici, annotazioni e pattern comportamentali. Cisco, tramite Secure Email Threat Defense, utilizza motori basati su regole e machine learning per identificare e bloccare queste minacce, raccogliendo indicatori come numeri di telefono VoIP e URL annidati.
