Исследователи придумали способ находить подделки в PDF-документах

Екатерина Быстрова 07 Июля 2025 - 10:33

...

Исследователи придумали способ находить подделки в PDF-документах

Учёные из Университета Претории (ЮАР) разработали новый способ выявления изменений в PDF-документах. Их прототип анализирует так называемые file page objects — это такие внутренние структуры файла, где хранится всё: от текста и картинок до метаданных.

PDF-формат давно стал стандартом в деловой переписке, поэтому неудивительно, что его часто используют мошенники — например, чтобы подделывать договоры или внедрять вредоносный код.

Сегодня редактировать PDF может кто угодно: есть и Adobe Acrobat, и куча онлайн-редакторов. Поэтому важно уметь быстро определять, менялся ли документ — и если да, то как именно.

Обычно для защиты PDF используют водяные знаки и хеши. Но эти подходы работают только с тем, что видно на глаз — текстом и изображениями. Если же злоумышленник подменил метаданные, добавил скрипт или изменил цифровую подпись, такие методы это не отловят.

К тому же, даже небольшое изменение меняет хеш-файл целиком — и непонятно, что именно было затронуто. А это неудобно, особенно в юридически важных документах.

Что придумали в Претории

Новый прототип работает на Python и использует библиотеки PDFRW, hashlib и Merkly. Вот как он устроен:

Сначала PDF нужно “защитить”. Программа читает файл, находит все page objects и создаёт уникальные хеши для каждой страницы, разбивая её содержимое на кусочки по 256 байт. Эти хеши строятся по принципу дерева Меркла: есть “листья” (для каждого блока) и “корень” (общий хеш всей страницы).
Также отдельно хешируется сам объект страницы и метаданные всего документа. Чтобы избежать ложных срабатываний, некоторые части пропускаются — они могут меняться от редактора к редактору и не несут смысла.
Все хеши прячутся внутри документа — в специальные скрытые поля. После этого сохраняется новая версия PDF — уже “защищённая”.
Если потом нужно проверить файл на изменения, программа достаёт из него все сохранённые хеши, заново рассчитывает новые — и сравнивает. Если что-то не совпадает, значит, документ менялся.

Главное достоинство — точность. Система может указать не только, что файл изменился, но и какую именно страницу и какой участок (в пределах 256 байт) тронули. Также покажет, если были переписаны метаданные.

Пока работает лучше всего с Adobe Acrobat

Прототип тестировали на файлах, изменённых в Adobe Acrobat, и в этих случаях он отрабатывал отлично. Теоретически, он должен справляться и с другими редакторами — потому что «защищённые» PDF создаются единообразно через PDFRW, — но это ещё предстоит проверить.

Важное ограничение: систему нельзя применить к «обычным» PDF-документам — сначала их нужно защитить через этот же инструмент. И пока он не умеет отслеживать, скажем, смену шрифта или вставку JavaScript.

Тем не менее даже в таком виде инструмент может стать отличной основой для будущих решений в области цифровой гигиены и защиты документов.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 05 Ноября 2025 - 15:24

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи F6

Мошенники крадут личные кабинеты арендодателей через фишинговые ссылки

Компания F6 сообщила о новой мошеннической схеме, направленной на захват личных кабинетов пользователей в сервисах поиска недвижимости. Под видом арендаторов или покупателей злоумышленники связываются с владельцами квартир и присылают фишинговые ссылки, ведущие на поддельные сайты, внешне неотличимые от настоящих.

Когда пользователь переходит по такой ссылке, его просят ввести номер телефона и код подтверждения — после этого мошенники получают доступ к личному кабинету. С его помощью они размещают фальшивые объявления о продаже или аренде жилья, чтобы обмануть новых жертв.

По данным аналитиков, с сентября 2025 года злоумышленники начали создавать сеть ложных доменов, маскирующихся под популярные сервисы недвижимости. Эти сайты регистрировались в доменных зонах .ru, .com, .icu и .digital, а в их адресах часто использовались слова «rent» и «flat».

Фишинговые ссылки распространялись двумя способами.

Через городские телеграм-каналы, где публикуются объявления о съёме и продаже квартир. Мошенники размещали сообщения вроде «Сдам квартиру на длительный срок», добавляя ссылку, которая вела на поддельный сайт.

Прямое общение с владельцами жилья. Преступники писали им в мессенджерах под видом потенциальных арендаторов, утверждая, что нашли «такое же объявление, но с другими данными», и прикладывали ссылку. При переходе по ней пользователи попадали на фишинговую страницу авторизации, где и теряли доступ к аккаунту.

По данным F6, с 10 сентября 2025 года специалисты заблокировали восемь таких доменов, но мошенники могут продолжить регистрировать новые. В ряде случаев поддельные сайты создавались всего за несколько дней до атаки.

По словам экспертов, рост подобных схем может быть связан с тем, что после ужесточения правил регистрации сим-карт мошенникам стало труднее создавать новые фейковые аккаунты. Теперь они предпочитают угонять уже существующие учётные записи, чтобы размещать от имени реальных пользователей объявления-приманки.

Ранее злоумышленники активно использовали классическую схему «мамонт», предлагая арендаторам или покупателям внести предоплату по поддельным ссылкам. Теперь же они переключились на владельцев недвижимости, выманивая у них данные для входа или реквизиты банковских карт.

Эксперты советуют внимательно проверять ссылки, не переходить по ним из чатов и не вводить коды подтверждения вне официальных сайтов.