Cisco Talos: le principali minacce di phishing nei file PDF Ecco come difendersi

  • Attacchi via e-mail che usano allegati PDF convincendo le vittime a chiamare numeri di telefono controllati dai cybercriminali. Questa tecnica è conosciuta come TOAD (Telephone-Oriented Attack Delivery).
  • I criminali informatici utilizzano la tecnologia VoIP (telefonia via internet) per nascondere la propria identità.
  • Utilizzo di codici QR e annotazioni nei PDF per veicolare minacce via e-mail. Questi attacchi cercano di ingannare le vittime impersonando marchi noti e affidabili.

MILANO – 24 luglio 2025 – Tutti conosciamo il formato PDF: lo usiamo per condividere documenti in modo universale, poiché mantiene il layout e funziona su tutti i dispositivi. Ma proprio per questa sua enorme diffusione, il PDF è anche un canale sfruttato dai cybercriminali. Negli ultimi tempi, ad esempio, i PDF sono stati usati in campagne di phishing per impersonare marchi noti e ingannare le vittime. I criminali informatici sfruttano la fiducia che i consumatori hanno nei brand famosi utilizzando loghi e nomi di aziende per rendere credibili e-mail fraudolente. L’obiettivo è indurre le vittime a condividere dati sensibili, come password o informazioni finanziarie.

In alcuni casi, l'intero messaggio, incluso il logo falso, è nascosto nel PDF. Uno dei tanti esempi è una truffa che imita Microsoft con l'oggetto "Incremento della busta paga", per attirare l'attenzione di chi la riceve. Questo tipo di attacco è più efficace durante periodi come le valutazioni delle performance aziendali, quando i dipendenti si aspettano promozioni o aumenti.

In altri casi il logo del marchio viene inserito come immagine separata o inclusa in un PDF, visibile subito dopo l'apertura dell’e-mail. Un altro tipo di esempio è una la truffa che imita i marchi Microsoft e Adobe, con il logo Adobe come immagine allegata. Questo rende il messaggio più credibile e aumenta le probabilità di ingannare immediatamente la vittima.

Quando la vittima clicca sul link "Visualizza l'allegato online", viene indirizzata a una pagina di phishing che imita il sito di Dropbox. L’obiettivo è far credere alla vittima di accedere a un servizio legittimo per visualizzare un documento, mentre in realtà sta rivelando informazioni sensibili ai cybercriminali.

Attacchi orientati al telefono (TOAD)

Alcuni attacchi e-mail con allegati PDF cercano invece di ingannare le vittime inducendole a chiamare numeri di telefono controllati dai cybercriminali. Questo tipo di attacco, chiamato TOAD (Telephone-Oriented Attack Delivery), spinge la vittima a chiamare un numero indicato nel PDF per risolvere un problema o confermare una transazione. Una volta che la vittima chiama, l’aggressore si finge un rappresentante legittimo e cerca di ottenere informazioni sensibili o installare malware. A differenza del phishing tradizionale, che usa link o allegati dannosi, il TOAD si basa esclusivamente su telefonate. Inoltre, i numeri di telefono utilizzati provengono spesso da servizi VoIP, difficili da tracciare e riutilizzabili.

Phishing con codice QR

Anche i codici QR vengono sempre più usati dai cybercriminali nelle e-mail di phishing. Gli aggressori sfruttano la fiducia che le vittime hanno verso marchi famosi per indurle a scansionare il codice, che le reindirizza a pagine di phishing spesso protette da CAPTCHA per sembrare più credibili. In molte e-mail di phishing con codice QR l’intero messaggio è incorporato nel PDF, visibile appena l’e-mail viene aperta. Questo rende difficile per i filtri e-mail rilevare il phishing, poiché i motori di rilevamento si basano su testi o parole chiave. L'analisi del contenuto richiederebbe il riconoscimento ottico dei caratteri (OCR), ma questo processo può essere impreciso e costoso, rendendo più difficile individuare gli attacchi.

Annotazioni all’interno dei file PDF

Anche se i PDF sono uno standard aperto, la loro struttura complessa può nascondere informazioni invisibili come annotazioni, commenti o link nascosti. Questo aiuta i cybercriminali a eludere i filtri antispam. Per rendere più efficaci le e-mail di phishing con codici QR, gli aggressori sfruttano spesso le annotazioni nei PDF. Un link dannoso, ad esempio, può essere nascosto in un commento o in un campo nascosto del documento. Inoltre, i criminali informatici possono inserire testo legittimo per confondere i sistemi di rilevamento o usare URL abbreviati, rendendo difficile capire dove porta davvero il link.

Le tendenze più recenti nel phishing tramite PDF

L’impersonificazione dei marchi è una tecnica comune nel phishing. Di recente Cisco Talos ha rilevato un aumento degli attacchi che usano file PDF per falsificare nomi e loghi noti e trarre in inganno le vittime. Grazie al sistema di rilevamento di Cisco Secure Email Threat Defense, è stato possibile monitorare questa crescita. Il grafico sottostante mostra i brand più utilizzati per ingannare le vittime tra il 5 maggio e il 5 giugno 2025.

Protezione contro l'impersonificazione del marchio

L’impersonificazione del marchio è una delle tecniche di phishing più comuni e viene spesso usata in attacchi via e-mail. Per proteggersi, è fondamentale utilizzare un motore di rilevamento dell’impersonificazione del marchio. Cisco Talos impiega vari sistemi per rilevare questi attacchi e proteggere i clienti, dai motori basati su regole a soluzioni avanzate che utilizzano l'apprendimento automatico. Scopri di più sul motore di rilevamento dell’impersonificazione del marchio di Cisco Secure Email Threat Defense.

A proposito di Cisco

Cisco (NASDAQ: CSCO) è il leader tecnologico mondiale che sta rivoluzionando il modo in cui le organizzazioni si connettono e si proteggono nell'era dell'IA. Per oltre 40 anni, Cisco ha connesso il mondo in modo sicuro. Con le sue soluzioni e servizi leader del settore basati sull'IA, Cisco consente ai suoi clienti, partner e comunità di sbloccare l'innovazione, migliorare la produttività e rafforzare la resilienza digitale. Con uno scopo al centro, Cisco rimane impegnata a creare un futuro più connesso e inclusivo per tutti. Scopri di più su The Newsroom e seguici su X all'indirizzo @Cisco.

Cisco e il logo Cisco sono marchi di fabbrica o marchi registrati di Cisco e/o delle sue affiliate negli Stati Uniti e in altri paesi. Un elenco dei marchi di Cisco è disponibile all'indirizzo http://www.cisco.com/go/trademarks. I marchi di terze parti menzionati sono proprietà dei rispettivi titolari. L'uso della parola "partner" non implica una relazione di partnership tra Cisco e qualsiasi altra azienda.

Ufficio Stampa Cisco: Marianna Ferrigno - pressit@external.cisco.com
Prima Pagina Comunicazione – Francesco Petruzzi – francesco@primapagina.it