PDF também tem vírus: como saber se o anexo é seguro sem abrir?

· Fonte: Canaltech

Conhecido popularmente como um “papel digital” inofensivo, o PDF pode muito bem ser um lobo em pele de cordeiro. Isso porque, embora a maioria das pessoas acreditem que ameaças digitais só vêm de arquivos “.zip” ou “.exe”, um PDF possui a credibilidade perfeita para que criminosos criem armadilhas mais convincentes.

A grande questão por trás do PDF é que, apesar de parecer um simples documento, esse tipo de arquivo é bastante complexo, já que possibilita o carregamento de scripts, links, formulários e até mesmo outros arquivos executáveis embutidos.

Diante disso, o PDF surge, na visão dos hackers, como uma porta de entrada ideal para disseminar golpes, principalmente devido ao teor de confiança que esses documentos transmitem para o usuário acostumado a vê-los no ambiente de trabalho ou em instituições escolares.

-
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
-

Logo, manter-se atento para possíveis armadilhas na sua caixa de entrada pode ser o fator decisivo na hora de se livrar de uma fraude digital. O Canaltech explica a seguir o que exatamente você encontra em PDFs comprometidos, quais são os sinais de alerta e o que você pode fazer para se certificar de que não está diante de um golpe.

PDFs podem disseminar arquivos e links maliciosos para golpes (Imagem: Resecurity/Divulgação).

O que tem em um PDF malicioso?

Em linhas gerais, um PDF malicioso pode conter diversos elementos comprometedores que vão gerar inúmeros prejuízos para o seu dispositivo e para o seu bolso, caso os hackers estejam atrás do seu dinheiro (o que ocorre na grande maioria dos casos).

Uma das táticas mais usadas pelos golpistas é o link camuflado, que vem por meio de campanhas de phishing. Geralmente, o documento pode vir com um botão vermelho gigante que grita um “VER NOTA FISCAL” ou "PAGUE AGORA", induzindo o usuário a clicar ali para ser redirecionado a uma página falsa que rouba dados pessoais.

Outro perigo encontrado em PDFs é o JavaScript embutido. Pode até parecer complexo demais para um “papel digital”, mas hackers conseguem implementar JavaScript no arquivo para explorar falhas do Adobe Reader ou acionar a instalação de malware no dispositivo.

Link malicioso em PDF induz usuário a pagar uma cobrança que não existe (Imagem: Reprodução/Zimperium).

Também há registros de casos que usam engenharia social visual para enganar a vítima. Aqui, o PDF aparece com uma imagem borrada com um alerta de que, para visualizar o conteúdo protegido, é necessário clicar em um botão de “permitir” ou fazer o login. A estratégia induz a vítima a conceder permissões de segurança para que o sistema seja corrompido.

O teste do mouse

Agora que você já sabe o que um PDF malicioso pode esconder, chegou o momento de conhecer uma das medidas preventivas mais efetivas contra ameaças do tipo: o teste do mouse.

Nunca esquecendo de que você não deve, em hipótese alguma, sair clicando em qualquer link que aparecer na sua frente, basta passar o mouse sobre os links ou botões para verificar qual é a verdadeira URL do que chegou até você em anexo por e-mail, por exemplo.

Dessa forma, se o texto diz que ele vem do Dropbox, mas quando você paira o mouse em cima do botão aparece um link completamente diferente, como “bit.ly” ou “vercel.app”, é golpe na certa.

Vale prestar atenção ainda para o endereço completo, porque os hackers podem substituir caracteres para enganar a vítima desatenta. Então, caso o link real seja “dropbox.com”, mas ele aparece como “dropb0x.com”, então você está diante de uma fraude e jamais deve clicar ali.

Faça testes e verifique se o PDF é verídico antes de clicar em links (Imagem: Fabrício Calixto/Canaltech).

Ferramentas de análise

Para além do teste do mouse, existem outras ferramentas disponíveis para analisar se o PDF recebido é realmente legítimo. Esses recursos são usados por vários profissionais para garantir a privacidade e a integridade de processos internos, servindo como uma mão na roda para barrar golpes antes que o pior ocorra.

Um dos mais eficientes é o VirusTotal, um site que faz uma inspeção rigorosa de documentos e links gratuitamente com base em mais de 70 antivírus. O processo é feito de maneira simultânea para detectar possíveis elementos maliciosos no arquivo ou URL, revelando ao usuário se há chance de aquilo ser “phishing” ou um “trojan-downloader”, por exemplo.

Mais uma ferramenta que faz a diferença durante esse processo de verificação é o Dangerzone. Popular entre jornalistas investigativos, o site consegue transformar um PDF malicioso em um arquivo seguro a partir da conversão do documento em imagem, eliminando scripts ou links comprometidos.

Onde abrir PDFs suspeitos?

Imagine que chegou um e-mail na sua caixa de entrada com um anexo em PDF que aponta para uma cobrança urgente. Com medo de que aquilo seja real, você quer se certificar de que a solicitação é verdadeira. O que fazer, então, para não cair em um golpe?

Caso você realmente fique com a pulga atrás da orelha para saber o que realmente está contido naquele PDF, uma dica segura é abrir o documento no Google Chrome ou no Microsoft Edge, evitando usar o Adobe Reader, já que o recurso pode estar desatualizado e conter brechas de segurança.

Evite abrir o PDF pelo Adobe Reader, pois falhas de segurança podem comprometer o sistema (Imagem: EsaRiutta/Pixabay).

Nos navegadores modernos, existe uma sandbox mais robusta que consegue isolar o PDF do Windows. Isso significa que, caso o arquivo tenha vírus, é mais difícil que ele escape do navegador para infectar o sistema.

Sinais de alerta

Para manter a integridade das suas atividades online, principalmente no ambiente de trabalho, vale prestar atenção a alguns sinais de alerta que podem indicar que você está diante de um PDF comprometido. Veja a seguir três alertas vermelhos que sugerem a possibilidade de golpe:

  1. Conexão com outros sites. Se você abriu o PDF e deu de cara com uma janela pop-up pedindo para conectar o documento a um site aleatório, nunca conceda a permissão.
  2. Boletos e contratos com macros e scripts. Um PDF que diz ter tais elementos contidos no arquivo, solicitando a execução deles no dispositivo, é golpe na certa. Jamais permita a ação, pois nenhum documento legítimo vai pedir permissão para executar scripts como requisito para ser lido.
  3. Preste atenção ao contexto. Muitas vezes, o sinal está justamente no remetente da mensagem, que pode vir de uma fonte desconhecida. Arquivos com nomes genéricos e alarmistas também podem indicar golpe, assim como erros de gramática e ortografia.

Além dessas medidas de segurança, você também pode se policiar para pensar racionalmente antes de qualquer ação, mesmo que a mensagem afirme que você precisa visualizar com urgência um contrato, pare e pense: você chegou a solicitar um contrato? Se a resposta for não, então é golpe.

No caso do sim, vale prestar atenção nos sinais exemplificados aqui, além de se certificar sempre de que está diante de algo verdadeiro. Todo cuidado é pouco quando navegamos pela internet.

Leia também:

Leia a matéria no Canaltech.