كشفت شركة بالو ألتو نتوركس أبرز التوجهات والأساليب التي استخدمها المهاجمون في عام 2020 لجذب المستخدمين إلى النقر على الروابط والأزرار المرسلة ضمن ملفات من نوع PDF لتنفيذ هجمات التصيد الاحتيالي.
ولاحظ خبراء بالو ألتو نتوركس زيادة انتشار الملفات الضارة من نوع PDF بشكل هائل بين عامي 2019 و 2020 بنسبة بلغت 1160%، حيث ازدادت أعداد هذه الملفات من 411,800 إلى 5,224,056 ملفاً. وتعتبر ملفات PDF من وسائل التصيّد الجذابة، وذلك أنها تعمل على مختلف الأنظمة الأساسية، إذ تسمح للمهاجمين بالتفاعل مع المستخدمين بشكل فعال. مما يجعل مخططاتهم الإختراقية قابلة للتصديق بشكل أكبر على عكس عمليات التصيد المعتمدة على البريد الإلكتروني، والتي تستند إلى نصوص مع روابط عادية فقط.
ورصدت بالو ألتو نتوركس أكثر من 5 ملايين ملف ضار من نوع PDF في عام 2020. ويوضح الجدول التالي النسبة المئوية لأعداد الملفات الضارة PDF التي تم تسجيلها في عام 2020 مقارنة بعام 2019.
وفيما يلي أبرز 5 توجهات وأساليب استخدمها المهاجمون في عام 2020 لشن هجمات التصيد الاحتيالي بالاعتماد على ملفات من نوع PDF:
1- ملفات التحقق المزيفة
تتطلب ملفات التحقق الوهمية من نوع PDF أو CAPTCHA PDF، كما يوحي اسمها، أن يقوم المستخدمون بإثبات بأنهم مستخدمون بشريون من خلال اختبار تحقق زائف. واختبارات الـ Captcha هي اختبارات استجابة تساعد في تحديد ما إذا كان المستخدم بشرياً أم آلياً.
2- قسائم الكوبون الوهمية
الفئة الثانية التي قمنا بتحديدها كانت عبارة عن ملفات PDF تصيّدية على شكل قسائم كوبون وهمية، وغالباً ما تستخدم هذه الملفات شعاراً لشركة نفط بارزة. وقد تم نشر عدد كبير من هذه الملفات باللغة الروسية مع ملاحظات مثل "ПОЛУЧИТЬ 50% СКИДКУ" و "ЖМИТЕ НА КАРТИНКУ"، والتي تعني على التوالي: "احصل على خصم بنسبة 50%" و "انقر على الصورة".
3- صورة ثابتة مع زر تشغيل
لا تحمل ملفات التصيد الاحتيالي هذه رسالة محدد بالضرورة، حيث أنها تحتوي في الغالب على صور ثابتة فيها زر تشغيل فقط. وعلى الرغم من ملاحظتنا لعدة فئات من الصور، إلا أن جزءاً كبيراً منها إما احتوى على صور خليعة، أو أنها غطت موضوعات مالية محددة مثل عملة البيتكوين، ومخططات الأسهم، وما شابه، وذلك لجذب المستخدمين للنقر فوق زر تشغيل.
4- تبادل الملفات
تستفيد هذه الفئة من ملفات التصيد الاحتيالية PDF من خدمات مشاركة الملفات الشائعة على شبكة الإنترنت لجذب انتباه المستخدمين. وغالباً ما تُخبر هذه الملفات المستخدمين بأن شخصاً ما قد شارك مستنداً معهم. مع ذلك، ونظراً لأسباب قد تختلف من ملف PDF إلى آخر، لا يمكن للمستخدم رؤية محتوى هذه الملفات، بل يحتاج على ما يبدو إلى النقر فور زر أو رابط مُضمّن في هذه الملفات.
5- التجارة الإلكترونية
تضمين التجارة الإلكترونية ضمن رسائل البريد الإلكترونية والمستندات التصيّدية ليس توجهاً جديداً. مع ذلك، فقد لاحظنا تصاعداً كبيراً في أعداد ملفات PDF الاحتيالية التي تستخدم العلامات التجارية الشائعة للتجارة الإلكترونية بغية خداع المستخدمين وجذبهم للنقر على الروابط المضمّنة.