Perché i PDF sono la “porta” preferita dai criminali informatici

L’innovazione tecnologica è una forza trainante nel mondo aziendale e personale. Tuttavia, proprio i dispositivi e le piattaforme digitali che rendono la vita più semplice possono diventare terreno fertile per gli attacchi informatici. Tra i nuovi protagonisti di queste minacce emergono i file PDF, diventati un veicolo efficace per cybercriminali alla ricerca di vulnerabilità. Questa complessità necessita di approfondimenti, strategie e strumenti di sicurezza capaci di proteggere aziende e utenti finali.

La minaccia dei PDF tra numeri e tendenze

Secondo Check Point Research, il 68% degli attacchi dannosi prende il via dalla casella di posta elettronica, e il 22% di questi sfrutta proprio i PDF come allegati e-mail malevoli. Questa percentuale fa comprendere quanto sia ampia l’esposizione delle aziende che quotidianamente scambiano grandi quantità di questi file. Gli attori delle minacce mostrano una conoscenza sempre più approfondita dei sistemi di rilevamento e mirano a file come i PDF, considerati apparentemente innocui ma in grado di nascondere codici malevoli.

Perché i PDF sono così complessi (e attraenti per gli hacker)

I PDF non sono semplici documenti di testo: la specifica ISO 32000 si estende per circa 1.000 pagine, offrendo molte funzionalità che possono essere sfruttate per aggirare i sistemi di sicurezza. Inoltre, la popolarità del formato (oltre 400 miliardi di PDF aperti lo scorso anno e l’87% delle organizzazioni che lo utilizza come standard) lo rende un obiettivo primario per gli aggressori. I criminali riescono a inserire link nascosti, a sfruttare codici JavaScript o a adottare tecniche di ingegneria sociale per indurre gli utenti a compiere azioni rischiose.

Dalle vulnerabilità JavaScript al social engineering

In passato, molti attacchi PDF sfruttavano vulnerabilità note (CVE) dei lettori PDF o il JavaScript integrato, ma l’evoluzione dei software di visualizzazione, spesso integrati nei browser, ha reso queste falle meno efficaci. Oggi, si punta molto di più sull’ingegneria sociale, approfittando della fiducia che gli utenti ripongono nei PDF e inducendoli a cliccare su link o a inserire le proprie credenziali su siti di phishing mascherati.

Come si infiltrano i PDF malevoli

Le tecniche più comuni includono l’inserimento di link a siti di phishing all’interno del documento. Spesso il PDF cerca di rassicurare l’utente con loghi di brand noti come Amazon o Adobe Acrobat, mentre un testo o un’immagine invitano al clic. Una volta ottenuta l’interazione umana, il sistema di sicurezza automatizzato fa più fatica a rilevare la minaccia. In alcuni casi, sono utilizzati anche QR code o numeri di telefono per aggirare i controlli standard degli URL.

Tecniche di elusione più diffuse

• Utilizzo di servizi di reindirizzamento benigni: gli aggressori si appoggiano a piattaforme come Bing, LinkedIn o Google AMP per nascondere la vera destinazione del link;
• QR code: invitano l’utente a scansionare il codice con lo smartphone, aggirando il controllo di URL pericolosi sui client di posta;
• Analisi statica aggirata: la complessa struttura dei PDF può essere “offuscata” con annotazioni codificate o testo incorporato in immagini, ostacolando i sistemi di Machine Learning e l’analisi basata sulle firme statiche;
• Oscuramento dei file: grazie a crittografia, filtri e oggetti indiretti, i PDF possono nascondere le intenzioni malevoli restando apribili dai lettori di uso comune;
• Aggiramento del Machine Learning: inserire testo in immagini, utilizzare caratteri alterati o testo invisibile mette in difficoltà i modelli di riconoscimento automatico.

Difendersi dagli attacchi PDF: consigli pratici

• Verificare il mittente: controllare sempre l’indirizzo e-mail. Molti attacchi sfruttano e-mail che sembrano provenire da marchi noti o colleghi;
• Evitare clic sospetti: soprattutto se non si sta aspettando un PDF. Se il file invita a cliccare su un link, scansionare un QR code o chiamare un numero di telefono, potrebbe essere una trappola;
• Controllare l’URL: passare il mouse sul link per visualizzare l’indirizzo completo. Fare attenzione a servizi di shortening o reindirizzamenti;
• Usare lettori PDF aggiornati: i browser moderni hanno spesso funzioni di sandbox e rilevamento integrate. Aggiornamenti frequenti riducono le vulnerabilità;
• Disattivare il JavaScript: se non indispensabile, disabilitare questa funzione nel lettore PDF per limitare exploit basati su script;
• Aggiornare i sistemi di sicurezza: mantenere costantemente aggiornati antivirus, sistemi operativi e software di lettura PDF.

Continua a leggere le notizie di Diario Innovazione e segui la nostra pagina Facebook