Jak útočníci zneužívají PDF soubory
Na první pohled se škodlivý PDF neliší od běžné faktury nebo životopisu. Bezpečnostní experti ze společnosti ESET však dlouhodobě pozorují, že PDF soubory se stále častěji objevují jako návnada v phishingových kampaních, útocích pokročilých hackerských skupin i sofistikovaných zero-day útocích. Podle dat ESET patří PDF k nejzneužívanějším typům souborů ve škodlivých kampaních.
Nebezpečné PDF obvykle dorazí jako příloha e-mailu nebo odkaz ve zprávě, která vás má vyprovokovat k unáhlené akci. Útočníci dobře vědí, jak na emoce – vytvoří pocit naléhavosti („poslední upozornění“), strachu („váš účet bude zablokován“) nebo zvědavosti („výsledky testů k dispozici“). Cílem je donutit vás jednat rychle, bez rozmyslu.

Samotné útoky mají různé podoby
- Skryté skripty se spustí automaticky při otevření souboru a stáhnou další škodlivý kód. JavaScript v PDF může sloužit k legitimním účelům jako interaktivní formuláře, útočníci ho ale zneužívají ke spuštění nebezpečných příkazů.
- Falešné odkazy uvnitř PDF vás přesměrují na stránky, kde máte zadat přihlašovací údaje, nebo spustí stahování škodlivého programu.
- Zneužití chyb v programech na čtení PDF - speciálně upravený obsah využije bezpečnostní díru ve starší verzi Adobe Readeru nebo jiného prohlížeče.
- Falešná identita - soubor vypadá jako PDF, ale ve skutečnosti jde o spustitelný program nebo skript. Může se jmenovat „faktura.pdf“, ale po kliknutí se spustí .exe soubor.
Letos se například šířil bankovní trojan Grandoreiro, který začínal e-mailem s údajným PDF souborem. Ve skutečnosti šlo o ZIP archiv se skriptem, který nainstaloval malware a umožnil zločincům přístup k bankovním účtům obětí.

Jak poznat podezřelé PDF
Několik varovných signálů by vás mělo okamžitě upozornit:
- Podivné jméno souboru - například „faktura.pdf.exe“ nebo „dokument.pdf.scr“. To vůbec nejsou PDF soubory, jen se za ně vydávají.
- Nesoulad odesílatele - e-mailová adresa neodpovídá organizaci, kterou zpráva předstírá, nebo je doména podezřelá či obsahuje překlepy.
- Komprimovaný soubor - PDF přijde zabalené v ZIP nebo RAR archivu, což je trik, jak obejít e-mailové filtry.
- Nečekaná zpráva - zeptejte se sami sebe: Žádal jsem tento soubor? Znám odesílatele? Dává smysl, že mi to posílá právě teď?
Co dělat při podezření
Pokud vás něco u příloh znepokojuje:
- Neotevírejte soubor hned - platí pravidlo: kontrolujte, v pochybnostech raději smažte.
- Ověřte odesílatele - zavolejte mu nebo mu napište jinou cestou, zda vám opravdu něco poslal.
- Zkontrolujte příponu - zapněte si zobrazení přípon souborů a ujistěte se, že jde skutečně o .pdf (ne .exe nebo něco jiného).
- Zkontrolujte i velikost souboru.
- Prohledejte antivirem - nechte soubor zkontrolovat bezpečnostním programem.
- Otevírejte opatrně - pokud musíte soubor otevřít, použijte aktuální verzi prohlížeče PDF s ochranným režimem (jako je Protected View v Adobe).
Co když jste už soubor otevřeli
Objevily-li se po otevření nějaké problémy:
- Odpojte se od internetu - zabráníte tak dalšímu stahování škodlivého kódu nebo krádeži dat.
- Spusťte prohledání počítače - použijte aktualizovaný antivirus a nechte prověřit celý systém.
- Zkontrolujte podezřelou aktivitu - podívejte se na běžící procesy a síťová připojení, případně požádejte odborníka.
- Změňte hesla- zvlášť u bankovních a důležitých účtů, ale použijte k tomu jiné zařízení než to napadené.
- Nahlaste incident - pokud jste otevřeli soubor na pracovním počítači, informujte IT oddělení.
Základní pravidla ochrany
Nečekané soubory neotevírejte, dokud neověříte jejich pravost. Naučte se rozpoznávat phishingové pokusy. Aktualizujte pravidelně operační systém a všechny programy včetně čteček PDF - mnoho útoků využívá známé bezpečnostní chyby. Zapněte si ochranný režim v prohlížeči PDF a zvažte omezení JavaScriptu. Používejte kvalitní bezpečnostní software na všech zařízeních.
Kyberzločinci budou nadále zneužívat důvěru, kterou běžně PDF souborům věnujeme. Pamatujte, že skutečné hrozby obvykle nepřicházejí v podezřelém obalu - naopak se snaží vypadat co nejběžněji. Ke každé neočekávané příloze nebo odkazu přistupujte obezřetně a spoléhejte na ověřené nástroje pro ochranu svých dat.