Microsoft en Docusign het meest geïmiteerd in kwaadaardige PDF’s, volgens gegevens van Cisco Talos

PDF-bestanden worden al jaren beschouwd als een van de handigste en meest voorkomende documentformaten. Universeel en te openen op bijna elk apparaat – ideaal voor rapporten, offertes en facturen. Maar ook een tool voor cybercriminelen om onder de radar te blijven bij aanvallen via e-mail. Pdf’s worden steeds meer gebruikt voor merkimitatie in geavanceerde phishing-campagnes, blijkt uit onderzoek van Cisco Talos. In de afgelopen maanden is merkimpersonatie door cybercriminelen exponentieel gestegen. De social engineering-techniek misbruikt de gekendheid van populaire merken om e-mailontvangers te misleiden en vertrouwelijke informatie prijs te geven.

TOAD: Phishing via telefoon
Een van de meest verontrustende trends is de zogenaamde TOAD-techniek of Telephone-Oriented Attack Delivery, ook wel bekend als ‘callback phishing’. In dit scenario ontvangt het slachtoffer een pdf-bestand met een telefoonnummer om naar terug te bellen. Vervolgens krijgen ze iemand aan de lijn die zich voordoet als bijvoorbeeld een bankvertegenwoordiger, een technologiebedrijf of een beveiligingsafdeling. Die persoon probeert het slachtoffer te misleiden om gegevens vrij te geven of schadelijke software te installeren.

Opvallend is dat criminelen daarvoor vaak een beroep doen op VoIP-diensten, omdat het dan moeilijker is om de eigenaar van het nummer te identificeren. Zo’n VoIP-nummer wordt meerdere opeenvolgende dagen gebruikt. Zo is langer contact mogelijk bij social engineering-aanvallen in meerdere fasen, kunnen terugbelscenario’s ingepland worden en het maakt de vervalste merken schijnbaar legitiem voor slachtoffers.

QR-codes en andere vormen van PDF-payload
QR-phishing (of quishing) is een andere steeds populairdere criminele techniek. De QR-code in het pdf-bestand leidt slachtoffers dan naar een phishingsite. Deze sites maken vaak gebruik van CAPTCHA-beveiliging om geautomatiseerde analyse te voorkomen.

In het PDF-bestand staat ook de inhoud van de e-mail zelf, waardoor het voor e-mailfiltersystemen moeilijk wordt om de dreiging te detecteren. Malwaredetectie op basis van tekstanalyse is dan niet effectief.

Met PDF’s kunnen niet alleen tekst en afbeeldingen worden ingesloten. Cybercriminelen kunnen ook opmerkingen, annotaties en formulieren toevoegen – verborgen elementen met vaak verkorte links naar kwaadaardige sites. Bovendien bevatten documenten vaak ook informatieruis om antispamsystemen te misleiden, waarschuwt Talos.

Meest geïmiteerde merken en wereldwijd bereik van aanvallen
Cisco Talos verzamelde gegevens over de omvang van de dreiging met behulp van de detectie-engine voor merkimitatie die is opgenomen in Cisco Secure Email Threat Defense. Tussen 5 mei en 5 juni 2025 behoorden Microsoft en Docusign tot de meest geïmiteerde merken in phishing-e-mails met pdf-bijlagen. NortonLifeLock, PayPal en Geek Squad zijn het meest geïmiteerd in TOAD-e-mails met pdf-bijlagen. Merkimitatie met pdf is een globaal probleem en komt voor in de VS, Europa, Azië en de Stille Oceaan.

Bescherming tegen merkimitatie
Merkimitatie is een van de meest populaire technieken voor social engineering en e-mailbedreiging. Daarom speelt een detectie-engine voor merkimitatie een cruciale rol bij de verdediging tegen cyberaanvallen.

“Om klanten te beschermen, zetten wij detectie-engines en machine learning in. Toch is het ook belangrijk om te blijven investeren in gebruikersbewustzijn. Getrainde gebruikers en moderne detectietechnologieën vormen de belangrijkste verdediging tegen de steeds geavanceerdere phishingmethoden”, zegt Jan Heijdra, Field CTO Security bij Cisco Nederland.