黑客利用PDF冒充微软等知名品牌，发动“回拨式”钓鱼攻击

网络安全研究人员发现，近期出现大量冒充微软、DocuSign等知名品牌的钓鱼邮件，其附件PDF中包含恶意二维码或链接，诱导受害者拨打攻击者控制的电话。这种新型攻击手法被称为“电话导向攻击投递”（Telephone-Oriented Attack Delivery，简称TOAD，也称“回拨式钓鱼”）。

01

利用PDF信任度实施攻击

这些攻击利用了用户对PDF文档的普遍信任，将本应安全的文件共享方式转变为窃取凭证和金融欺诈的入口。恶意活动通过多种攻击向量展开，攻击者将完整的钓鱼邮件嵌入PDF附件中，以规避传统的电子邮件安全过滤器。

通过将品牌标识、虚假发票和欺骗性内容直接封装到PDF文件中，攻击者绕过了通常会对可疑邮件内容进行标记的文本分析系统。PDF的可移植性使其成为跨平台和设备传递逼真品牌冒充的理想载体。

02

电话导向攻击(TOAD)与全球分布

这些攻击已从简单的电子邮件钓鱼演变为包含电话导向攻击(TOAD)，也称为回拨钓鱼。受害者会收到包含虚假发票或安全警报的PDF附件，其中嵌入了电话号码。思科Talos分析师发现，攻击者使用互联网语音协议(VoIP)号码进行这些社会工程操作以保持匿名。

这些攻击活动的地理范围遍布全球，研究人员注意到在2025年5月5日至6月5日的研究期间，针对美国用户的活动尤为集中。分析显示，微软和DocuSign是最常被冒充的品牌，而NortonLifeLock、PayPal和百思买(Best Buy)的Geek Squad则在基于TOAD的攻击中占据主导地位。

03

QR码集成与PDF注释滥用

这些攻击活动中最复杂的方面涉及在PDF附件中嵌入QR码的战略性使用，创建了多层次的欺骗机制。攻击者将QR码与看似合法的品牌通信内容并列放置，诱导受害者扫描这些会重定向到CAPTCHA保护的钓鱼页面的二维码，旨在窃取凭证。

思科Talos研究人员发现，威胁行为者利用PDF注释隐藏恶意URL，同时保持文档的合法性。在分析的样本中，攻击者在PDF注释中嵌入了多个URL，其中一个URL(https://eu1.documents.adobe.com/public/)看起来合法，而另一个注释则包含实际的钓鱼目标(https://schopx.com/r?)。这种技术使可见的QR码链接到可信站点，在隐藏注释重定向到恶意端点前建立受害者信任。

04

Adobe电子签名服务滥用与攻击案例

这种滥用行为还延伸到Adobe的电子签名服务，攻击者通过合法的Adobe基础设施上传和分发完整的钓鱼文档。一个记录在案的案例涉及冒充PayPal，声称收取699.00美元购买"Apple iPad Air 11英寸Wi-Fi 256GB-蓝色"的费用，包含交易ID #08345049MC0STO958308328和回拨号码+1 (820)-206-4931。

这展示了攻击者如何将QR码与品牌冒充层层叠加，而攻击序列则说明了从最初接收电子邮件到受害者操纵和恶意文件下载的完整TOAD攻击序列。

如何防范基于PDF的攻击

用户层面

谨慎处理PDF附件：

对来自未知发件人或包含紧急请求的PDF保持警惕，避免扫描不明二维码或点击嵌入链接。

验证通信真实性：

通过官方渠道联系品牌客服，而非直接回复邮件或拨打附件中的电话。

用安全工具：

启用多因素认证（MFA），定期更新安全软件，并扫描可疑附件。

企业层面

员工培训：

开展安全意识教育，重点培训识别PDF钓鱼攻击的特征（如品牌冒充、紧急请求、可疑链接）。

部署高级检测技术：

利用AI和机器学习分析PDF文件结构，检测隐藏注释、恶意URL或动态内容加载行为。

限制邮件附件类型：

禁止或限制通过企业邮箱接收可执行文件（如.exe、.js）和潜在危险的PDF（如包含JavaScript或表单字段的PDF）。

PDF签名证书避免被伪造或滥用措施

01

使用数字证书

原理：数字证书由权威机构（GDCA）颁发，包含签名者的身份信息和公钥。签名时，私钥加密文件摘要，公钥用于验证签名合法性。

效果：私钥唯一性确保签名不可伪造，若文件被篡改，验证时摘要不匹配，签名失效。

02

结合时间戳服务

原理：时间戳服务器为文件添加可信时间标记，证明签名时的文件状态。

效果：防止攻击者事后篡改文件并伪造签名时间，增强法律效力。

操作：在签名过程中嵌入时间戳，接收方验证时检查时间戳有效性。

03

应用哈希算法

原理：将文件内容转换为固定长度哈希值，签名时对哈希值加密。

效果：文件微小修改会导致哈希值剧变，验证时对比哈希值即可发现篡改。

应用：哈希值作为签名的一部分，确保文件完整性。

随着网络犯罪手段持续进化，PDF签名证书的安全威胁不会消失，但通过技术迭代、管理优化与用户意识提升，我们完全能将风险控制在可接受范围内。无论是企业保护核心数据，还是个人防范身份盗用，唯有保持警惕、持续更新防护策略，方能在数字化浪潮中筑牢安全基石。

素材来源：freebuf