Os ficheiros PDF tornaram-se um elemento essencial da nossa vida digital diária, tanto no trabalho como em casa. Funcionam perfeitamente em todos os sistemas operativos e dispositivos, e não poderiam ser mais fáceis de criar e partilhar. Mas atenção às ameaças ocultas.
Todos os dias, inúmeros ficheiros PDF são trocados entre caixas de entrada e plataformas de mensagens, e é provável que já tenha aberto um hoje sem pensar duas vezes.
No entanto, tudo isso também contribui para tornar os PDFs o disfarce perfeito para todos os tipos de ameaças. À primeira vista, os ficheiros PDF parecem tão inofensivos quanto os ficheiros digitais podem ser. A olho nu, um PDF com malware ou, na verdade, outro tipo de ficheiro que se espalha sob o disfarce de um PDF, não parece necessariamente muito diferente de uma fatura comum, um currículo ou um formulário governamental.
Os investigadores de segurança estão a ver os ficheiros PDF aparecerem repetidamente como isco, especialmente em campanhas de engenharia social em massa, mas também em operações de grupos APT e até mesmo em ataques sofisticados de dia zero. A telemetria recente da ESET, a maior empresa europeia de cibersegurança, confirma que os PDFs estão entre os principais tipos de ficheiros usados em campanhas maliciosas.
Como identificar um PDF suspeito?
Então, quais são os sinais de alerta que devem deixá-lo em alerta máximo?
- O ficheiro tem um nome visível enganador ou extensão dupla: é o caso de nomes como invoice.pdf.exe ou document.pdf.scr, especialmente quando os atacantes lançam as suas redes amplamente e pretendem enganar o maior número possível de pessoas. Na verdade, estes ficheiros não são PDFs – eles apenas são disfarçados para parecerem PDFs.
- O endereço de email ou nome do remetente não corresponde ao que o ficheiro indica: o endereço de email do remetente é diferente da organização que o documento afirma ser, ou o domínio está escrito incorretamente ou é suspeito.
- O PDF está comprimido dentro de um arquivo ZIP ou RAR: o PDF chega dentro de um ZIP ou RAR – isto é uma tentativa de contornar a deteção pelos filtros de email.
- A mensagem inteira é inesperada ou parece “fora de contexto”: pergunte a si mesmo: eu pedi este ficheiro? Eu conheço o remetente? Faz sentido que ele me envie isto?
O que fazer se receber um PDF suspeito
Se um PDF levantar suspeitas, tome estas precauções:
- Não descarregue nem abra o ficheiro. O ditado “na dúvida, não arrisque” funciona bem aqui.
- Verifique o remetente e o contexto: antes de abrir o anexo potencialmente suspeito, contacte o remetente por um canal de comunicação separado, como uma chamada telefónica, para verificar se ele realmente o enviou.
- Verifique a extensão e o tamanho do ficheiro: ative a opção “mostrar extensões de ficheiro” ou equivalente no seu sistema operativo e confirme se o ficheiro é realmente um .pdf (e não um .exe, por exemplo) e se o tamanho do ficheiro parece plausível.
- Verifique o ficheiro com o seu software de segurança
- Abra com cuidado: se tiver mesmo de o abrir e tiver tomado as outras precauções, utilize um visualizador de PDF atualizado com sandboxing ou uma funcionalidade de visualização protegida ativada.
O que fazer se desconfiar que abriu um PDF suspeito
- Desligue-se da Internet para reduzir a possibilidade de exfiltração de dados ou downloads adicionais de payloads.
- Execute uma verificação completa do computador com uma solução de segurança atualizada. Se não tiver nenhuma, execute uma verificação única, disponível gratuitamente no scanner da ESET.
- Verifique se há anomalias nos processos em execução e nas ligações de rede. Se não tiver experiência, peça a um profissional para investigar.
- Altere as palavras-passe, especialmente das suas contas financeiras e outras contas valiosas, especialmente quando suspeitar que as suas credenciais possam ter sido roubadas – mas faça isso a partir de um dispositivo diferente daquele em que descarregou o PDF.
- Relate o incidente à sua equipa de TI/segurança (caso tenha aberto o ficheiro no seu computador de trabalho).