黑客利用PDF冒充微軟等知名品牌，發動“回撥式”釣魚攻擊

網絡安全研究人員發現，近期出現大量冒充微軟、DocuSign等知名品牌的釣魚郵件，其附件PDF中包含惡意二維碼或鏈接，誘導受害者撥打攻擊者控制的電話。這種新型攻擊手法被稱為“電話導向攻擊投遞”（Telephone-Oriented Attack Delivery，簡稱TOAD，也稱“回撥式釣魚”）。

01

利用PDF信任度實施攻擊

這些攻擊利用了用戶對PDF文檔的普遍信任，將本應安全的文件共享方式轉變為竊取憑證和金融欺詐的入口。惡意活動通過多種攻擊向量展開，攻擊者將完整的釣魚郵件嵌入PDF附件中，以規避傳統的電子郵件安全過濾器。

通過將品牌標識、虛假發票和欺騙性內容直接封裝到PDF文件中，攻擊者繞過了通常會對可疑郵件內容進行標記的文本分析系統。PDF的可移植性使其成為跨平臺和設備傳遞逼真品牌冒充的理想載體。

02

電話導向攻擊(TOAD)與全球分布

這些攻擊已從簡單的電子郵件釣魚演變為包含電話導向攻擊(TOAD)，也稱為回撥釣魚。受害者會收到包含虛假發票或安全警報的PDF附件，其中嵌入了電話號碼。思科Talos分析師發現，攻擊者使用互聯網語音協議(VoIP)號碼進行這些社會工程操作以保持匿名。

這些攻擊活動的地理范圍遍布全球，研究人員注意到在2025年5月5日至6月5日的研究期間，針對美國用戶的活動尤為集中。分析顯示，微軟和DocuSign是最常被冒充的品牌，而NortonLifeLock、PayPal和百思買(Best Buy)的Geek Squad則在基于TOAD的攻擊中占據主導地位。

03

QR碼集成與PDF注釋濫用

這些攻擊活動中最復雜的方面涉及在PDF附件中嵌入QR碼的戰略性使用，創建了多層次的欺騙機制。攻擊者將QR碼與看似合法的品牌通信內容并列放置，誘導受害者掃描這些會重定向到CAPTCHA保護的釣魚頁面的二維碼，旨在竊取憑證。

思科Talos研究人員發現，威脅行為者利用PDF注釋隱藏惡意URL，同時保持文檔的合法性。在分析的樣本中，攻擊者在PDF注釋中嵌入了多個URL，其中一個URL(https://eu1.documents.adobe.com/public/)看起來合法，而另一個注釋則包含實際的釣魚目標(https://schopx.com/r?)。這種技術使可見的QR碼鏈接到可信站點，在隱藏注釋重定向到惡意端點前建立受害者信任。

04

Adobe電子簽名服務濫用與攻擊案例

這種濫用行為還延伸到Adobe的電子簽名服務，攻擊者通過合法的Adobe基礎設施上傳和分發完整的釣魚文檔。一個記錄在案的案例涉及冒充PayPal，聲稱收取699.00美元購買"Apple iPad Air 11英寸Wi-Fi 256GB-藍色"的費用，包含交易ID #08345049MC0STO958308328和回撥號碼+1 (820)-206-4931。

這展示了攻擊者如何將QR碼與品牌冒充層層疊加，而攻擊序列則說明了從最初接收電子郵件到受害者操縱和惡意文件下載的完整TOAD攻擊序列。

如何防范基于PDF的攻擊

用戶層面

謹慎處理PDF附件：

對來自未知發件人或包含緊急請求的PDF保持警惕，避免掃描不明二維碼或點擊嵌入鏈接。

驗證通信真實性：

通過官方渠道聯系品牌客服，而非直接回復郵件或撥打附件中的電話。

用安全工具：

啟用多因素認證（MFA），定期更新安全軟件，并掃描可疑附件。

企業層面

員工培訓：

開展安全意識教育，重點培訓識別PDF釣魚攻擊的特征（如品牌冒充、緊急請求、可疑鏈接）。

部署高級檢測技術：

利用AI和機器學習分析PDF文件結構，檢測隱藏注釋、惡意URL或動態內容加載行為。

限制郵件附件類型：

禁止或限制通過企業郵箱接收可執行文件（如.exe、.js）和潛在危險的PDF（如包含JavaScript或表單字段的PDF）。

PDF簽名證書避免被偽造或濫用措施

01

使用數字證書

原理：數字證書由權威機構（GDCA）頒發，包含簽名者的身份信息和公鑰。簽名時，私鑰加密文件摘要，公鑰用于驗證簽名合法性。

效果：私鑰唯一性確保簽名不可偽造，若文件被篡改，驗證時摘要不匹配，簽名失效。

02

結合時間戳服務

原理：時間戳服務器為文件添加可信時間標記，證明簽名時的文件狀態。

效果：防止攻擊者事后篡改文件并偽造簽名時間，增強法律效力。

操作：在簽名過程中嵌入時間戳，接收方驗證時檢查時間戳有效性。

03

應用哈希算法

原理：將文件內容轉換為固定長度哈希值，簽名時對哈希值加密。

效果：文件微小修改會導致哈希值劇變，驗證時對比哈希值即可發現篡改。

應用：哈希值作為簽名的一部分，確保文件完整性。

隨著網絡犯罪手段持續進化，PDF簽名證書的安全威脅不會消失，但通過技術迭代、管理優化與用戶意識提升，我們完全能將風險控制在可接受范圍內。無論是企業保護核心數據，還是個人防范身份盜用，唯有保持警惕、持續更新防護策略，方能在數字化浪潮中筑牢安全基石。

素材來源：freebuf