Wallisellen – PDF ist seit vielen Jahren ein häufig genutztes Dokumentenformat für Berichte, Angebote oder Rechnungen, da es auf fast jedem Gerät lesbar ist. Das Experten-Team von Cisco Talos warnt in einem aktuellen Blogbeitrag aber davor, dass Cyberkriminelle zunehmend PDFs für Marken-Imitationen in fortgeschrittenen Phishing-Mails nutzen. KI-gestützte Lösungen von Cisco Talos können diese Gefahr für Unternehmensnetzwerke entdecken und abwehren.
In den letzten Monaten hat das Phänomen, dass Hacker bekannte Marken imitieren, besonders stark zugenommen. Mit dieser Social-Engineering-Technik wollen sie E-Mail-EmpfängerInnen zur Preisgabe vertraulicher Informationen verleiten, wie bereits ein Cisco Talos Blog vom vergangenen Jahr zeigt.
Phishing über das Telefon
Ein gefährlicher Trend ist dabei TOAD (Telephone-Oriented Attack Delivery), auch bekannt als «Rückruf-Phishing». In diesem Szenario erhält das Opfer eine E-Mail mit einer PDF-Datei, die eine Telefonnummer enthält. Beim Anruf dieser Nummer wird das Opfer mit einer Person verbunden, die sich beispielsweise als Vertreter einer Bank, eines Technologieunternehmens oder einer Sicherheitsabteilung ausgibt. Sie versucht, das Opfer zur Preisgabe von Daten oder zur Installation von Schadsoftware zu bewegen.
Dabei nutzen Kriminelle oft VoIP, da es deutlich schwieriger ist, eine VoIP-Nummer auf eine bestimmte Person oder einen physischen Standort zurückzuverfolgen. Cisco Talos hat Fälle entdeckt, in denen dieselben Nummern an mehreren aufeinanderfolgenden Tagen verwendet wurden. Die Wiederverwendung von Telefonnummern bietet Betrügern gewisse logistische Vorteile. Sie ermöglicht einen ständigen Kontakt bei mehrstufigen Social-Engineering-Angriffen, erlaubt die Planung von Rückrufen und legitimiert so die angeblichen Marken bei den Opfern. Zusätzlich lassen sich damit Kosten reduzieren, insbesondere wenn der VoIP-Dienst zahlungspflichtig ist.
QR-Codes, Anmerkungen und andere Formen von PDF-Daten
QR-Phishing (oder Quishing) ist eine weitere zunehmende Betrugsmethode: Kriminelle platzieren hier einen QR-Code in eine PDF-Datei, der das Opfer beim Scannen auf eine Phishing-Website leitet. Diese Websites verwenden häufig CAPTCHA-Sicherheitsmerkmale, um eine automatische Analyse durch Cybersecurity-Tools zu vermeiden. Darüber hinaus befindet sich der gesamte E-Mail-Inhalt oft nur im Anhang und wird dem Opfer unmittelbar nach dem Öffnen der Nachricht angezeigt. Dies erschwert es E-Mail-Filtersystemen, die Cyberbedrohung zu erkennen.
Denn in solchen Fällen sind Erkennungsmechanismen unwirksam, die auf Textanalyse basieren. Hier erkennt nur OCR-Technologie (Optical Character Recognition) den Cyberangriff. Diese ist jedoch mit hohen Kosten und einem gewissen Fehlerrisiko verbunden.
In PDFs lassen sich nicht nur Texte und Bilder integrieren, sondern auch Kommentare, Anmerkungen und Formulare erstellen. Diese versteckten Elemente werden manchmal von Hackern genutzt, um Links zu bösartigen Websites einzubetten. Hier kommen oft verkürzte Links zum Einsatz, die schwieriger zu überprüfen sind. Zudem können Dokumente versteckte Informationen enthalten, um Anti-Spam-Systeme zu täuschen.
Die am häufigsten gefälschten Marken
Über die in der Cisco Secure Email Threat Defense-Lösung enthaltene Brand Impersonation Detection Engine hat Cisco Talos folgende Ergebnisse ermittelt: Zwischen dem 5. Mai und dem 5. Juni 2025 gehörten Microsoft und PayPal zu den am häufigsten imitierten Marken in Phishing-Mails mit PDF-Anhängen. Die am häufigsten gefälschten Marken in TOAD-E-Mails mit PDF-Anhängen waren NortonLifeLock, Docusign und Geek Squad. Die Herkunft der entsprechenden Angriffe war in diesem Zeitraum weltweit verteilt, von den USA über Europa bis hin zu Asien und dem pazifischen Raum.
Schutz vor imitierten Marken
«Markenimitation ist eine häufige Social-Engineering-Technik und wird von Angreifern permanent für verschiedene Arten von E-Mail-Bedrohungen eingesetzt», erklärt Thorsten Rosendahl, Technical Leader von Cisco Talos. «Daher spielt eine Brand Impersonation Detection Engine eine entscheidende Rolle bei der Abwehr von Cyberangriffen.»
Cisco Talos nutzt eine breite Palette von KI-basierten Lösungen, um diese Art von Bedrohung für digitale Netzwerke zu erkennen und Kunden zu schützen. Sie reichen von regelbasierten Engines bis zu fortschrittlichen Machine-Learning-Systemen. Angesichts immer raffinierterer Phishing-Methoden werden die Sensibilisierung der User und moderne Erkennungstechnologien immer wichtiger. (Cisco Talos/mc)