E-Mail Sicherheit

Malware infizierte PDF-E-Mail Anhänge nehmen weiter zu

, Check Point | Autor: Herbert Wieler

Malware infizierte PDF-E-Mail Anhänge nehmen weiter zu

68 Prozent aller Cyberangriffe erfolgen per E-Mail

Mit mehr als 400 Milliarden geöffneten PDF-Dateien im vergangenen Jahr bietet dieses beliebte Dateiformat eine ideale Tarnung für schädliche Inhalte. Jüngste Analysen zeigen, dass 68 Prozent aller Cyberangriffe per E-Mail erfolgen, wobei mittlerweile 22 Prozent der infizierten Anhänge PDFs sind. Dies ergab eine Untersuchung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP) , einem weltweit führenden Anbieter von CyberSecurity-Lösungen.

Das weit verbreitete PDF-Format entwickelt sich zunehmend zu einem Einfallstor für Cyberkriminelle. Check Point Research hat die neuesten Angriffstaktiken untersucht

Die Evolution der PDF-Angriffe

Hacker haben ihre Methoden verfeinert, um traditionelle Sicherheitslösungen zu umgehen. Sie nutzen gezielte Verschleierungstechniken, um eine Erkennung durch Antivirensoftware oder Scan-Tools zu verhindern. Laut Check Point Research (CPR) blieben zahlreiche betrügerische PDF-Kampagnen von herkömmlichen Sicherheitsmechanismen unentdeckt und wurden auch nicht in Datenbanken wie VirusTotal gemeldet.

CPR hat analysiert, wie Cyberkriminelle PDF-Angriffe weiterentwickeln und wie sich diese Angriffe trotz modernster Schutzmechanismen verbreiten. Gleichzeitig zeigt die Untersuchung, welche Maßnahmen Unternehmen und Einzelpersonen ergreifen können, um sich wirksam vor solchen Bedrohungen zu schützen.

PDF-Phishing und Social Engineering – eine gefährliche Kombination

PDF-Dateien sind hochkomplex und bieten mit der ISO-32000-Spezifikation unzählige Möglichkeiten zur Manipulation. Diese Vielseitigkeit macht PDFs nicht nur für legale Anwendungen attraktiv, sondern auch für Cyberkriminelle. Während früher Sicherheitslücken in PDF-Readern genutzt wurden, setzen Angreifer heute verstärkt auf Social Engineering. Sie tarnen schädliche Inhalte als vertrauenswürdige Dokumente und verleiten Empfänger dazu, Links anzuklicken oder schadhafte Inhalte auszuführen. Da viele E-Mail-Sicherheitssysteme PDFs weniger streng prüfen als andere Dateiformate, gelingt es Angreifern häufig, ihre PDFs unentdeckt durchzuschleusen.

Anatomie einer PDF-Angriffskampagne

Eine der am häufigsten beobachteten Methoden sind PDF-Dateien mit eingebetteten schädlichen Links. Diese verweisen entweder auf Phishing-Websites oder initiieren den Download von Malware. Die Dokumente wirken häufig authentisch und enthalten Logos oder Texte bekannter Marken wie Amazon, DocuSign oder Acrobat Reader, um das Opfer zu täuschen. Angreifer verschleiern ihre Methoden geschickt, indem sie beispielsweise Links in Bildern verstecken oder URL-Weiterleitungsdienste nutzen. Dies erschwert die Erkennung durch Sicherheitssoftware erheblich.

Verschleierungstechniken der Hacker

Um Sicherheitsmechanismen zu umgehen, setzen Cyberkriminelle auf verschiedene Techniken:

  • Einsatz von Weiterleitungsdiensten: Links werden über legitime Dienste wie Bing, LinkedIn oder Google AMP getarnt, wodurch Sicherheitsfilter sie oft nicht als Bedrohung erkennen.
  • Verwendung von QR-Codes: PDFs enthalten QR-Codes, die Nutzer mit ihrem Smartphone scannen müssen. Da klassische URL-Scanner diese Methode nicht erfassen, bleibt der Angriff unentdeckt.
  • Telefonbetrug: Anstelle von verdächtigen Links enthalten manche PDFs Telefonnummern, die Nutzer anrufen sollen. Hierbei wird das Opfer direkt manipuliert, ohne dass automatisierte Erkennungssysteme Alarm schlagen.

Umgehung von Sicherheitsmechanismen

Viele Antivirenprogramme verlassen sich auf statische Analysen, um Bedrohungen zu identifizieren. Moderne PDF-Angriffe können diese Mechanismen jedoch umgehen, indem sie:

  • Links in verschlüsselten oder codierten Anmerkungen verstecken
  • Vertraute Markenlogos und legitime Domains für Phishing-Zwecke nutzen
  • Text in Bildern einbetten, um maschinelle Erkennung zu erschweren
  • Mikrotexte oder unsichtbare Zeichen nutzen, um KI-basierte Analysemodelle zu verwirren

Schutzmaßnahmen gegen PDF-basierte Angriffe

CPR empfiehlt folgende Maßnahmen, um sich vor infizierten PDFs zu schützen:

  • E-Mail-Absender sorgfältig überprüfen: Betrüger tarnen sich oft als bekannte Unternehmen oder Kollegen.
  • Ungefragte PDF-Anhänge skeptisch betrachten: Besonders bei Dateien, die zum Klicken auf Links oder Scannen von QR-Codes auffordern.
  • Links vor dem Anklicken prüfen: Den Mauszeiger über Links bewegen, um die tatsächliche URL anzuzeigen.
  • Einen sicheren PDF-Viewer verwenden: Moderne Reader bieten integrierte Schutzmechanismen gegen Bedrohungen.
  • JavaScript in PDF-Readern deaktivieren: Viele PDF-Angriffe nutzen Skriptfunktionen aus.
  • Regelmäßige Software-Updates durchführen: Sicherheitspatches helfen, bekannte Schwachstellen zu schließen.
  • Verdächtige Dateien meiden: Ungewohnte Formatierungen, Tippfehler oder Anmeldeaufforderungen sind Warnsignale.

Mit Lösungen wie Check Point Threat Emulation und Harmony Endpoint lassen sich verschiedene Angriffstechniken gezielt abwehren. Diese Technologien bieten Schutz vor PDF-basierten Bedrohungen und helfen, potenzielle Gefahren frühzeitig zu erkennen.