De PDF-bestanden worden ingezet om slachtoffers te verleiden naar telefoonnummers te bellen die zogenaamd toebehoren aan merken als Microsoft, DocuSign, Dropbox, PayPal en Adobe, in wat bekendstaat als 'Telephone-Oriented Attack Delivery' (TOAD), schrijft ITPro.
Slachtoffers krijgen in de pdf de instructie een bepaald nummer te bellen om een probleem op te lossen of een transactie te bevestigen.
De aanvaller doet zich vervolgens voor als een legitieme vertegenwoordiger van het bedrijf en probeert het slachtoffer ertoe te bewegen vertrouwelijke informatie prijs te geven of kwaadaardige software op zijn computer te installeren.
Live contact tijdens een telefoongesprek stelt aanvallers in staat de emoties en reacties van het slachtoffer te manipuleren
Omid Mirzaei Cisco Talos
Callback phishing
In een blogpost over de campagne legt Omid Mirzaei, hoofd beveiligingsonderzoek bij Cisco Talos, uit dat deze specifieke aanvalsmethode, aangeduid als 'callback phishing', niet vertrouwt op traditionele technieken zoals valse websites of phishinglinks. Juist deze combinatie met het imiteren van betrouwbare merken maakt de dreiging voor bedrijven extra groot.
„Aanvallers gebruiken directe telefonische communicatie om het vertrouwen van het slachtoffer in telefoongesprekken uit te buiten, en de perceptie dat telefonie een veilige manier is om met een organisatie te communiceren," legt hij uit. „Bovendien stelt het live contact tijdens een telefoongesprek aanvallers in staat de emoties en reacties van het slachtoffer te manipuleren via social engineering-tactieken."
Lees ook: Hoe word ik beter beschermd tegen hackers en phishing?
Voice over Internet Protocol (VoIP) ingezet
In een voorbeeld gebruikte de aanvaller het aanlokkelijke onderwerp 'Paycheck Increment', strategisch getimed op momenten waarop promoties of salarisverhogingen in organisaties waarschijnlijk zijn. Volgens Cisco Talos maken de aanvallers vaak gebruik van Voice over Internet Protocol (VoIP) om anoniem te blijven.
„Met behulp van de detectiemodule voor merkimitatie van Cisco Secure Email Threat Defense hebben we kunnen blootleggen hoe wijdverbreid deze aanvallen zijn", zegt Mirzaei. „Microsoft en DocuSign behoorden tot de meest nagebootste merken in phishingmails met pdf-bijlagen. NortonLifeLock, PayPal en Geek Squad werden eveneens het vaakst geïmiteerd in TOAD-mails met PDF's."
Wat extra zorgwekkend is, is dat deze aanvallen de beperkingen van mobiele apparaten uitbuiten
Javvad Malik KnowBe4
QR-codes, CAPTCHA en PDF-bijlagen
In veel gevallen werden QR-codes gebruikt die slachtoffers naar een phishingpagina leiden, die vaak beveiligd is met een vorm van CAPTCHA. Bij de meeste phishingmails met PDF-bijlagen is de volledige tekst van de e-mail als afbeelding opgenomen in het bijgevoegde bestand. Zodra het slachtoffer de e-mail opent, wordt de inhoud direct weergegeven.
Deze methode omzeilt eenvoudig e-mailfilters en detectiesystemen die op tekstkenmerken en zoekwoorden werken, tenzij deze eerst optische tekenherkenning (OCR) toepassen.
Lees ook: Nederlandse bedrijven wapenen zich beter tegen cyberaanvallen, maar blijven kwetsbaar
PDF-dreigingscampagne toont belang van training aan
Javvad Malik, hoofd security awareness bij KnowBe4, geeft aan dat deze campagne misbruik maakt van de neiging van mensen om gehoor te geven aan autoriteitsfiguren. Dit benadrukt het belang van structurele training en bewustwording onder medewerkers.
Het gebruik van deze technieken sluit bovendien aan bij onderzoek van het bedrijf naar social engineering-praktijken in recente jaren. Uit een studie van het cybersecuritybedrijf bleek dat aanvallers 'consistenter gebruikmaken van vertrouwde platforms en merken'. „Het Phishing Threat Trends Report 2025 laat zien dat 62,6 procent van de phishingaanvallen nu merkimitatie gebruikt om geloofwaardigheid te creëren."
Nieuwe tactiek hackers
„Wat extra zorgwekkend is, is dat deze aanvallen de beperkingen van mobiele apparaten uitbuiten, waar beperkt schermoppervlak het lastiger maakt details na te gaan."
Uit het phishingrapport blijkt verder dat 76,4 procent van de aanvallen nu 'polymorfe kenmerken' gebruikt om detectie te ontwijken, aldus Malik, en de op PDF gebaseerde imitaties zijn daarbij een nieuwe tactiek.
Bron: Emma Woollacott (ITPro)
Ontvang elke week het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in:
