網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，近期出現(xiàn)大量冒充微軟、DocuSign等知名品牌的釣魚郵件，其附件PDF中包含惡意二維碼或鏈接，誘導(dǎo)受害者撥打攻擊者控制的電話。這種新型攻擊手法被稱為“電話導(dǎo)向攻擊投遞”（Telephone-Oriented Attack Delivery，簡稱TOAD，也稱“回?fù)苁结烎~”）。

01

利用PDF信任度實施攻擊

這些攻擊利用了用戶對PDF文檔的普遍信任，將本應(yīng)安全的文件共享方式轉(zhuǎn)變?yōu)楦`取憑證和金融欺詐的入口。惡意活動通過多種攻擊向量展開，攻擊者將完整的釣魚郵件嵌入PDF附件中，以規(guī)避傳統(tǒng)的電子郵件安全過濾器。

通過將品牌標(biāo)識、虛假發(fā)票和欺騙性內(nèi)容直接封裝到PDF文件中，攻擊者繞過了通常會對可疑郵件內(nèi)容進(jìn)行標(biāo)記的文本分析系統(tǒng)。PDF的可移植性使其成為跨平臺和設(shè)備傳遞逼真品牌冒充的理想載體。

02

電話導(dǎo)向攻擊(TOAD)與全球分布

這些攻擊已從簡單的電子郵件釣魚演變?yōu)榘娫拰?dǎo)向攻擊(TOAD)，也稱為回?fù)茚烎~。受害者會收到包含虛假發(fā)票或安全警報的PDF附件，其中嵌入了電話號碼。思科Talos分析師發(fā)現(xiàn)，攻擊者使用互聯(lián)網(wǎng)語音協(xié)議(VoIP)號碼進(jìn)行這些社會工程操作以保持匿名。

這些攻擊活動的地理范圍遍布全球，研究人員注意到在2025年5月5日至6月5日的研究期間，針對美國用戶的活動尤為集中。分析顯示，微軟和DocuSign是最常被冒充的品牌，而NortonLifeLock、PayPal和百思買(Best Buy)的Geek Squad則在基于TOAD的攻擊中占據(jù)主導(dǎo)地位。

03

QR碼集成與PDF注釋濫用

這些攻擊活動中最復(fù)雜的方面涉及在PDF附件中嵌入QR碼的戰(zhàn)略性使用，創(chuàng)建了多層次的欺騙機(jī)制。攻擊者將QR碼與看似合法的品牌通信內(nèi)容并列放置，誘導(dǎo)受害者掃描這些會重定向到CAPTCHA保護(hù)的釣魚頁面的二維碼，旨在竊取憑證。

思科Talos研究人員發(fā)現(xiàn)，威脅行為者利用PDF注釋隱藏惡意URL，同時保持文檔的合法性。在分析的樣本中，攻擊者在PDF注釋中嵌入了多個URL，其中一個URL(https://eu1.documents.adobe.com/public/)看起來合法，而另一個注釋則包含實際的釣魚目標(biāo)(https://schopx.com/r?)。這種技術(shù)使可見的QR碼鏈接到可信站點，在隱藏注釋重定向到惡意端點前建立受害者信任。

04

Adobe電子簽名服務(wù)濫用與攻擊案例

這種濫用行為還延伸到Adobe的電子簽名服務(wù)，攻擊者通過合法的Adobe基礎(chǔ)設(shè)施上傳和分發(fā)完整的釣魚文檔。一個記錄在案的案例涉及冒充PayPal，聲稱收取699.00美元購買"Apple iPad Air 11英寸Wi-Fi 256GB-藍(lán)色"的費(fèi)用，包含交易ID #08345049MC0STO958308328和回?fù)芴柎a+1 (820)-206-4931。

這展示了攻擊者如何將QR碼與品牌冒充層層疊加，而攻擊序列則說明了從最初接收電子郵件到受害者操縱和惡意文件下載的完整TOAD攻擊序列。

如何防范基于PDF的攻擊

用戶層面

謹(jǐn)慎處理PDF附件：

對來自未知發(fā)件人或包含緊急請求的PDF保持警惕，避免掃描不明二維碼或點擊嵌入鏈接。

驗證通信真實性：

通過官方渠道聯(lián)系品牌客服，而非直接回復(fù)郵件或撥打附件中的電話。

用安全工具：

啟用多因素認(rèn)證（MFA），定期更新安全軟件，并掃描可疑附件。

企業(yè)層面

員工培訓(xùn)：

開展安全意識教育，重點培訓(xùn)識別PDF釣魚攻擊的特征（如品牌冒充、緊急請求、可疑鏈接）。

部署高級檢測技術(shù)：

利用AI和機(jī)器學(xué)習(xí)分析PDF文件結(jié)構(gòu)，檢測隱藏注釋、惡意URL或動態(tài)內(nèi)容加載行為。

限制郵件附件類型：

禁止或限制通過企業(yè)郵箱接收可執(zhí)行文件（如.exe、.js）和潛在危險的PDF（如包含JavaScript或表單字段的PDF）。

PDF簽名證書避免被偽造或濫用措施

01

使用數(shù)字證書

原理：數(shù)字證書由權(quán)威機(jī)構(gòu)（GDCA）頒發(fā)，包含簽名者的身份信息和公鑰。簽名時，私鑰加密文件摘要，公鑰用于驗證簽名合法性。

效果：私鑰唯一性確保簽名不可偽造，若文件被篡改，驗證時摘要不匹配，簽名失效。

02

結(jié)合時間戳服務(wù)

原理：時間戳服務(wù)器為文件添加可信時間標(biāo)記，證明簽名時的文件狀態(tài)。

效果：防止攻擊者事后篡改文件并偽造簽名時間，增強(qiáng)法律效力。

操作：在簽名過程中嵌入時間戳，接收方驗證時檢查時間戳有效性。

03

應(yīng)用哈希算法

原理：將文件內(nèi)容轉(zhuǎn)換為固定長度哈希值，簽名時對哈希值加密。

效果：文件微小修改會導(dǎo)致哈希值劇變，驗證時對比哈希值即可發(fā)現(xiàn)篡改。

應(yīng)用：哈希值作為簽名的一部分，確保文件完整性。

隨著網(wǎng)絡(luò)犯罪手段持續(xù)進(jìn)化，PDF簽名證書的安全威脅不會消失，但通過技術(shù)迭代、管理優(yōu)化與用戶意識提升，我們完全能將風(fēng)險控制在可接受范圍內(nèi)。無論是企業(yè)保護(hù)核心數(shù)據(jù)，還是個人防范身份盜用，唯有保持警惕、持續(xù)更新防護(hù)策略，方能在數(shù)字化浪潮中筑牢安全基石。

素材來源：freebuf