В последние годы технологии кибермошенничества становятся все более изощрёнными, а злоумышленники активно используют социальную инженерию в сочетании с техническими инструментами для достижения своих целей. Одной из наиболее опасных и распространённых тактик сегодня являются фишинговые атаки с использованием PDF-файлов, в которых мошенники выдают себя за известные компании, такие как Microsoft, DocuSign, NortonLifeLock, PayPal и Geek Squad. Эти кампании привлекают внимание исследователей кибербезопасности благодаря их масштабности и эффективности. В основе таких мошеннических операций лежит методика, известная как обратный фишинг или же Telephone-Oriented Attack Delivery (TOAD). Главная цель злоумышленников в этом случае — убедить жертву связаться с подставным номером телефона, который контролируется преступниками.
Во время телефонного разговора мошенник выдает себя за сотрудника службы поддержки или другого официального представителя, используя различные приёмы социальной инженерии, включая сценарии call-центров, фоновые мелодии ожидания и подмену номера вызывающего абонента. Такая многогранная имитация создает иллюзию легитимности и вызывает у жертвы доверие, что часто приводит к разглашению конфиденциальных данных или установке вредоносного ПО. Использование PDF-файлов в подобных кампаниях обусловлено удобством и возможностью внедрения множества элементов социальной инженерии в одном документе. Обычно файлы представляют собой имитацию уведомлений, счетов, подтверждений транзакций или голосовых сообщений с поддельными QR-кодами, которые при сканировании направляют пользователя на фальшивые сайты для кражи учетных данных, например, под видом страниц входа в Microsoft 365 или Dropbox. Помимо QR-кодов, вредоносные сердца PDF также содержат аннотации и комментарии с встроенными ссылками, которые выглядят как надежные и легитимные элементы документа.
ВАЖНО отметить, что злоумышленники зачастую манипулируют не только доверчивостью пользователей, но и уязвимостью инфраструктуры электронной почты организаций. В частности, в 2025 году обнаружена активность, связанная с использованием функции Microsoft 365 Direct Send, позволяющей отправлять сообщения внутри корпоративной сети без аутентификации. Мошенники эксплуатируют эту возможность, чтобы отправлять фишинговые письма, маскируясь под внутренних сотрудников или даже сервисные уведомления, что значительно снижает уровень подозрительности среди получателей и пропускает фильтры безопасности. Такого рода атаки часто направлены на крупные компании и требуют минимальных усилий со стороны злоумышленников, поскольку они используют функциональность и доверие к корпоративным почтовым системам. По словам экспертов, это позволяет нападающим проводить атаки более масштабно и эффективно.
В случае успешного взаимодействия с жертвой, мошенники могут добиться установки банковских троянов на устройства с Android, получения доступа к удаленным рабочим столам через программы вроде AnyDesk и TeamViewer, а также перехвата кредитных карт и других финансовых данных через поддельные платежные порталы. В результате финансовые и репутационные риски для пострадавших организаций и частных лиц значительно возрастают. Исследования также выявили, что злоумышленники активно используют VoIP-технологии для создания анонимных телефонных номеров, которые остаются активными в течение нескольких дней, что позволяет проводить многоэтапные и продолжительные атаки с обратными звонками. Использование поддельных номеров еще больше усложняет обзор и предотвращение угроз оперативными службами. Наряду с традиционными методами, в последнее время появились и новые риски, связанные с внедрением искусственного интеллекта.
Некоторые исследования показали, что крупные языковые модели, используемые в чат-ботах, иногда предоставляют пользователям неверные или поддельные URL-адреса популярных сервисов. Это открывает дополнительное пространство для злоумышленников — они могут использовать незарегистрированные или взломанные домены, чтобы подсовывать жертвам фальшивые сайты, увеличивая шансы успешного фишинга. Кроме того, преступные организации активно внедряют вредоносный код на авторитетных сайтах с доменами .gov и .edu, манипулируя алгоритмами поисковых систем.
Через специальную платформу Hacklink злоумышленники получают доступ к тысячам скомпрометированных сайтов и встраивают в их код ссылки на фишинговые ресурсы. Это повышает вероятность того, что потенциальные жертвы увидят мошеннические сайты в результатах поиска, что подрывает доверие к брендам и усложняет борьбу с киберпреступностью. Ответом на эти угрозы становится внедрение специализированных систем обнаружения подделки брендов, а также повышение осведомленности пользователей и организаций о новых тактиках мошенников. Важно регулярно обновлять безопасность корпоративной почты, ограничивать использование функций, позволяющих обходить аутентификацию, и обучать сотрудников распознавать признаки обратного фишинга и других видов социальной инженерии. Стратегический подход должен включать комплекс мер по защите как технического уровня — например, установку многофакторной аутентификации, мониторинг сетевой активности и запрет на использование подозрительных VoIP-номеров, — так и организационного — создание культуры безопасности, проведение регулярных обучающих сессий и внедрение процессов проверки подозрительной корреспонденции.
