Κάθε μέρα, αμέτρητα αρχεία PDF (Portable Document Format) ανταλλάσσονται μέσω ηλεκτρονικού ταχυδρομείου και πλατφόρμων ανταλλαγής μηνυμάτων – και είναι πολύ πιθανό να έχετε ανοίξει ένα σήμερα, χωρίς καν να το σκεφτείτε δεύτερη φορά.
Ωστόσο, αυτή ακριβώς η ευκολία είναι και ο λόγος που τα αρχεία PDF αποτελούν ιδανικό μέσο κάλυψης για κάθε είδους απειλές. Με την πρώτη ματιά, φαίνονται απολύτως ακίνδυνα. Στην πραγματικότητα όμως, ένα αρχείο PDF μπορεί να περιέχει κακόβουλο λογισμικό ή να είναι ένας διαφορετικός τύπος αρχείου που παρουσιάζεται ως PDF – χωρίς να διαφέρει οπτικά από ένα συνηθισμένο τιμολόγιο, ένα βιογραφικό ή ένα κυβερνητικό έντυπο, προειδοποιεί η Fabiana Ramírez Cuenca από την ομάδα της παγκόσμιας εταιρίας κυβερνοασφάλειας ESET.
Πρόσφατα δεδομένα τηλεμετρίας της ESET επιβεβαιώνουν ότι τα PDF συγκαταλέγονται μεταξύ των πιο συχνά χρησιμοποιούμενων τύπων αρχείων σε κακόβουλες εκστρατείες.
Ένας λύκος με προβιά προβάτου
Τα παγιδευμένα αρχεία PDF φτάνουν συχνά με τη μορφή συνημμένου σε μηνύματα ηλεκτρονικού ταχυδρομείου ή ως σύνδεσμοι σε μηνύματα ηλεκτρονικού ψαρέματος, που προτρέπουν τα θύματα σε ενέργειες. Όπως συμβαίνει γενικά σε εκστρατείες κοινωνικής μηχανικής, τα δολώματα είναι σχεδιασμένα προσεκτικά για να προκαλούν έντονα συναισθήματα — επείγουσα ανάγκη (π.χ. «τελική ειδοποίηση»), φόβο («λογαριασμός σε αναστολή») ή περιέργεια («αποτελέσματα εξετάσεων διαθέσιμα»). Ο τελικός στόχος είναι να χαλαρώσετε την προσοχή σας και, με προτροπές όπως «πληρώστε τώρα» ή «ελέγξτε άμεσα», να σας πιέσουν να ανοίξετε ένα αρχείο ή να κάνετε κλικ σε έναν σύνδεσμο.
Υπάρχουν διάφορες τεχνικές επίθεσης. Πχ:
- Ενσωματωμένα scripts που εκτελούνται όταν ανοίγει το αρχείο, επιτρέποντας στους επιτιθέμενους να ξεκινήσουν διάφορες ενέργειες και να αναπτύξουν επιπρόσθετα payloads. Το JavaScript σε PDF μπορεί να χρησιμοποιηθεί νόμιμα για διαδραστικές φόρμες και αυτοματοποίηση, αλλά επίσης μπορεί να καταχραστεί για λήψη ή εκτέλεση κακόβουλου κώδικα.
- Κρυμμένοι ή κακόβουλοι σύνδεσμοι: Σύνδεσμοι μέσα στο PDF μπορούν να ανακατευθύνουν σε σελίδες συλλογής διαπιστευτηρίων ή να προτρέπουν το θύμα να κατεβάσει ένα κακόβουλο αρχείο (π.χ. ZIP ή εκτελέσιμο).
- Εκμετάλλευση ευπαθειών σε προγράμματα ανάγνωσης PDF: Κακοσχεδιασμένα αντικείμενα ή ειδικά διαμορφωμένο περιεχόμενο μπορούν να εκμεταλλευτούν σφάλματα σε ευάλωτες εκδόσεις κοινών αναγνωστών PDF και να οδηγήσουν σε εκτέλεση κώδικα — όπως συνέβη με κενό ασφάλειας που επηρέαζε το Adobe Reader και τεκμηριώθηκε από ερευνητές της ESET.
- Αρχεία που μοιάζουν με PDF αλλά δεν είναι: Αρχεία που εμφανίζονται ως PDF στην επιφάνεια εργασίας (π.χ. «invoice.pdf») μπορεί στην πραγματικότητα να είναι scripts, εκτελέσιμα ή αρχεία Microsoft Office με κρυφή πραγματική επέκταση. Όταν τα ανοίξετε, μπορεί να εκτελείται ένα εκτελέσιμο αρχείο και όχι απλώς να προβάλλεται ένα έγγραφο.
Χαρακτηριστικό παράδειγμα είναι εκστρατεία που διένειμε νωρίτερα μέσα στη χρονιά τον τραπεζικό trojan Grandoreiro. Η επίθεση ξεκινούσε από ένα email που προέτρεπε το θύμα να ανοίξει ένα έγγραφο που φαινόταν ως PDF. Στην πραγματικότητα, επρόκειτο για ένα αρχείο ZIP που περιείχε, μεταξύ άλλων, ένα αρχείο VBScript. Το VBScript απελευθέρωνε το Grandoreiro στη συσκευή και τελικά έδινε στους εγκληματίες πρόσβαση σε τραπεζικά στοιχεία του θύματος.
Εικόνα 1. Email ηλεκτρονικού ψαρέματος που προσποιείται ότι προέρχεται από μια κρατική υπηρεσία της Αργεντινής, με έναν σύνδεσμο που οδηγεί σε ένα ψεύτικο αρχείο PDF.
Εικόνα 2. Η ιστοσελίδα στην οποία μεταφέρεστε μετά το κλικ στον σύνδεσμο της Εικόνας 1.
Πώς να εντοπίσετε ένα ύποπτο αρχείο PDF
Ποια είναι, λοιπόν, τα προειδοποιητικά σημάδια που πρέπει να σας θέσουν σε συναγερμό;
- Το αρχείο έχει παραπλανητικό όνομα ή διπλή επέκταση. Αυτό συμβαίνει με ονόματα όπως invoice.pdf.exe ή document.pdf.scr, ειδικά όταν οι επιτιθέμενοι ρίχνουν τα δίχτυα τους σε ευρύ κοινό και προσπαθούν να παγιδεύσουν όσο το δυνατόν περισσότερους χρήστες. Αυτά τα αρχεία δεν είναι στην πραγματικότητα PDF – απλώς έχουν διαμορφωθεί έτσι ώστε να φαίνονται ως τέτοια.
- Η διεύθυνση ηλεκτρονικού ταχυδρομείου ή το όνομα του αποστολέα δεν ταιριάζει με τα στοιχεία που αναφέρονται στο αρχείο. Η διεύθυνση email του αποστολέα διαφέρει από αυτή του οργανισμού από τον οποίο υποτίθεται ότι προέρχεται το έγγραφο, ή το όνομα του τομέα είναι γραμμένο λανθασμένα ή φαίνεται ύποπτο.
- Το PDF είναι συμπιεσμένο μέσα σε αρχείο ZIP ή RAR. Αν το αρχείο PDF φτάνει μέσα σε ZIP ή RAR, αυτό γίνεται συνήθως σε μια προσπάθεια να παρακαμφθεί η ανίχνευση από τα φίλτρα ηλεκτρονικού ταχυδρομείου.
- Το μήνυμα είναι απρόσμενο ή «εκτός πλαισίου». Ρωτήστε τον εαυτό σας: Ζήτησα αυτό το αρχείο; Γνωρίζω τον αποστολέα; Έχει λογική να μου το στείλει;
Εικόνα 3. Ψεύτικη προσφορά εργασίας που μεταμφιέζεται ως αρχείο PDF (πηγή: ESET Research)
Τι να κάνετε αν λάβετε ένα ύποπτο αρχείο PDF
Αν λάβετε ένα αρχείο PDF που σας προκαλεί υποψίες, ακολουθήστε τα παρακάτω προληπτικά μέτρα:
- Μην το ανοίξετε αμέσως. Αν έχετε αμφιβολίες, καλύτερα να το διαγράψετε. Η παροιμία «όταν έχεις αμφιβολίες, πέτα το» ισχύει απόλυτα σε αυτή την περίπτωση.
- Επαληθεύστε τον αποστολέα και το περιεχόμενο. Πριν ανοίξετε το ύποπτο συνημμένο, επικοινωνήστε με τον αποστολέα μέσω ενός ανεξάρτητου καναλιού — για παράδειγμα, με ένα τηλεφώνημα ή ξεχωριστό email — ώστε να βεβαιωθείτε ότι πράγματι το έστειλε.
- Ελέγξτε την επέκταση και το μέγεθος του αρχείου. Ενεργοποιήστε την επιλογή «εμφάνιση επεκτάσεων αρχείων» στο λειτουργικό σας σύστημα και βεβαιωθείτε ότι το αρχείο είναι πραγματικά .pdf (και όχι κάτι ύποπτο, όπως .exe). Ελέγξτε επίσης αν το μέγεθος του αρχείου φαίνεται λογικό για το περιεχόμενό του.
- Σαρώστε το αρχείο με το λογισμικό ασφαλείας σας. Εκτελέστε έναν έλεγχο με το ενημερωμένο antivirus σας ή ανεβάστε το αρχείο στο VirusTotal για μια γρήγορη διαδικτυακή ανάλυση.
- Ανοίξτε το με προσοχή. Αν είναι απολύτως απαραίτητο να ανοίξετε το αρχείο, χρησιμοποιήστε ένα ενημερωμένο πρόγραμμα προβολής PDF με ενεργοποιημένη λειτουργία sandboxing ή Protected View (όπως η αντίστοιχη επιλογή της Adobe).
Τι να κάνετε αν υποψιάζεστε ότι έχετε ανοίξει ένα ύποπτο αρχείο PDF
- Αποσυνδεθείτε από το διαδίκτυο, ώστε να μειώσετε την πιθανότητα διαρροής δεδομένων ή λήψης κακόβουλου λογισμικού.
- Εκτελέστε πλήρη σάρωση του υπολογιστή σας με ένα ενημερωμένο πρόγραμμα ασφαλείας. Αν δεν διαθέτετε κάποιο, πραγματοποιήστε μια σάρωση με το δωρεάν εργαλείο σάρωσης της ESET.
- Ελέγξτε τις τρέχουσες διεργασίες και τις συνδέσεις δικτύου για τυχόν ανωμαλίες. Αν δεν έχετε την απαραίτητη εμπειρία, ζητήστε τη βοήθεια ενός επαγγελματία.
- Αλλάξτε τους κωδικούς πρόσβασής σας, ειδικά για τραπεζικούς ή άλλους σημαντικούς λογαριασμούς, εάν υποψιάζεστε ότι τα διαπιστευτήριά σας έχουν παραβιαστεί. Κάντε το από μια διαφορετική συσκευή από εκείνη στην οποία ανοίξατε το αρχείο PDF.
- Αναφέρετε το περιστατικό στην ομάδα IT ή κυβερνοασφάλειας, εάν το αρχείο ανοίχτηκε σε εταιρικό υπολογιστή.
Είναι βέβαιο ότι οι κυβερνοεγκληματίες θα συνεχίσουν να εκμεταλλεύονται την εμπιστοσύνη που δείχνουμε στα αρχεία PDF. Η χρήση των PDF για κακόβουλους σκοπούς μας υπενθυμίζει επίσης ότι οι απειλές ασφαλείας δεν παρουσιάζονται πάντα με προφανώς ύποπτη μορφή. Ο δοκιμασμένος και αξιόπιστος κανόνας ισχύει και εδώ: αντιμετωπίστε κάθε μη αναμενόμενο σύνδεσμο ή συνημμένο με προσοχή και βασιστείτε σε αξιόπιστα εργαλεία για την προστασία των δεδομένων και των συσκευών σας.
