Thought Leadership
PDF-Dokumente gehören seit Jahrzehnten zu den Standardformaten für Berichte, Rechnungen und Angebote. Ihre universelle Lesbarkeit macht sie praktisch – und leider auch attraktiv für Betrüger.
Sicherheitsforscher von Cisco Talos berichten, dass PDF-Dateien zunehmend für täuschend echte Markenfälschungen in Phishing-Kampagnen missbraucht werden.
In den vergangenen Monaten ist ein deutlicher Anstieg bei Angriffen zu verzeichnen, bei denen Hacker bekannte Unternehmensmarken imitieren. Ziel ist es, Empfängerinnen und Empfänger durch geschicktes Social Engineering zur Preisgabe sensibler Daten zu bewegen.
Diese Fälschungen erscheinen oft täuschend echt – Logos, Layouts und Absenderinformationen werden nachgeahmt, um Vertrauen zu wecken.
Rückruf-Phishing: Die TOAD-Methode
Ein besonders heimtückischer Ansatz ist das sogenannte Telephone-Oriented Attack Delivery (TOAD). Dabei erhalten Opfer eine E-Mail mit einer PDF-Datei, die eine Telefonnummer enthält. Wer dort anruft, landet bei Betrügern, die sich etwa als Bankangestellte, Techniksupport oder Sicherheitsmitarbeiter ausgeben. Das Ziel: sensible Daten abgreifen oder Schadsoftware einschleusen.
Kriminelle setzen hier oft auf VoIP-Nummern – schwer zurückzuverfolgende Internet-Telefonieanschlüsse. Teilweise werden dieselben Nummern über mehrere Tage hinweg genutzt, um mehrstufige Betrugsversuche zu koordinieren und die angebliche Seriosität zu untermauern.
Quishing: QR-Codes als Falle
Eine weitere Masche trägt den Namen Quishing: Hier wird in der PDF ein QR-Code platziert, der zu einer manipulierten Webseite führt. Diese Seiten sind oft mit CAPTCHA-Abfragen versehen, um automatische Analysen zu umgehen. Zudem befindet sich der eigentliche Angriffstext häufig nur im PDF-Anhang, was klassische E-Mail-Filter ausbremst.
Um solche Angriffe zu erkennen, ist oft OCR-Technologie nötig – eine Texterkennung, die Bilder analysieren kann. Diese Verfahren sind jedoch kostenintensiv und nicht fehlerfrei.
Versteckte Elemente in PDF-Dateien
PDFs können neben sichtbaren Inhalten auch unscheinbare Elemente wie Kommentare, Formularfelder oder eingebettete Links enthalten. Angreifer nutzen diese oft, um verkürzte oder verschleierte Links zu platzieren, die zu schädlichen Webseiten führen. Auch Metadaten oder unsichtbare Textbausteine können zur Umgehung von Anti-Spam-Systemen beitragen.
Laut einer Auswertung von Cisco Talos (Mai–Juni 2025) standen besonders Microsoft und PayPal im Fokus der Fälscher, wenn es um Phishing-Mails mit PDF-Anhängen ging.
Bei der speziellen TOAD-Variante wurden vor allem NortonLifeLock, Docusign und Geek Squad imitiert. Die Angriffe stammten aus unterschiedlichsten Regionen – von Nordamerika über Europa bis Asien.
Schutzmaßnahmen und Prävention
Markenimitation zählt zu den dauerhaft eingesetzten Methoden im Phishing-Bereich. Die Sicherheitsforscher um Thorsten Rosendahl betonen, dass neben technischen Erkennungssystemen auch die Aufmerksamkeit der Nutzer entscheidend ist.
Moderne Schutzmechanismen kombinieren regelbasierte Systeme mit Machine-Learning-Verfahren, um verdächtige Anhänge zu identifizieren. Doch technische Lösungen allein genügen nicht: Unternehmen und Privatpersonen sollten geschult werden, verdächtige Dokumente, Telefonnummern oder QR-Codes frühzeitig zu erkennen.
