Pas op voor misleidende PDF’s: niet elk document is wat het lijkt

PDF-bestanden zijn niet meer weg te denken uit ons digitale leven, zowel op het werk als thuis. Elke dag gaan er ontelbare PDF’s rond via e-mail en berichtenapps en de kans is groot dat je er vandaag al één hebt geopend. En terecht, want PDF’s zijn handig: ze werken op vrijwel ieder besturingssysteem en apparaat, en zijn eenvoudig te maken en te delen.

Maar juist die vertrouwdheid maakt PDF’s een ideaal middel voor cybercriminelen. Op het eerste gezicht lijken PDF-bestanden onschuldig. Een geïnfecteerd PDF-bestand of een bestand dat zich als PDF voordoet, ziet er voor het blote oog vaak hetzelfde uit als een gewone factuur, een cv of een formulier van de overheid.

Beveiligingsonderzoekers zien PDF’s regelmatig terugkomen als lokaas in grootschalige phishingcampagnes, maar ook bij aanvallen van geavanceerde hackersgroepen en zelfs in zogeheten zero-day-aanvallen. Recente ESET-data bevestigen dat PDF-bestanden tot één van de meest misbruikte bestandstypen behoren in schadelijke campagnes.

Figuur 1. Meest voorkomende soorten schadelijke e-mailbijlagen (bron: ESET Threat Report H1 2025)

Een wolf in schaapskleren

Geïnfecteerde PDF’s komen vaak binnen als e-mailbijlage of link in een phishingbericht. De berichten zijn slim opgesteld om emoties op te wekken, zoals: als “Laatste aanmaning”, “Account tijdelijk geblokkeerd” of “Belangrijke testresultaten beschikbaar”. Het doel is om je te verleiden het bestand te openen of op een link te klikken.

De aanvalstechnieken verschillen, maar komen vaak neer op:

• Ingesloten scripts die automatisch draaien bij het openen van het bestand, waarmee aanvallers extra malware kunnen binnenhalen. JavaScript in PDF’s heeft legitieme toepassingen (zoals interactieve formulieren), maar wordt ook misbruikt om kwaadaardige code te downloaden of uit te voeren.
• Verborgen of kwaadaardige links: een link in het PDF-bestand kan je doorsturen naar een nepwebsite die je inloggegevens steelt, of het downloaden van een besmet ZIP-bestand of .exe-bestand.
• Kwetsbaarheden in PDF-readers: speciaal bewerkte PDF’s kunnen fouten in verouderde versies van populaire lezers, zoals Adobe Reader, misbruiken om code uit te voeren.
• Bestanden die zich alleen voordoen als PDF’s: bijvoorbeeld “factuur.pdf.exe”,  in werkelijkheid een uitvoerbaar bestand met een verborgen extensie.

Eerder dit jaar rapporteerde ESET over een campagne waarin de Grandoreiro-banktrojan werd verspreid via een e-mail met zogenaamd een PDF-document. In werkelijkheid bevatte het een ZIP-bestand met daarin een script dat uiteindelijk de malware installeerde en de bankgegevens van slachtoffers stal.

Zo herken je een verdachte PDF

Let op deze waarschuwingssignalen:

• De bestandsnaam is misleidend of heeft een dubbele extensie, zoals factuur.pdf.exe of document.pdf.scr.
• Het e-mailadres van de afzender komt niet overeen met de organisatie die het document zegt te vertegenwoordigen.
• De PDF is verpakt in een ZIP- of RAR-bestand, vaak een truc om detectie te omzeilen.
• De boodschap is onverwacht of uit context: heb je om dit bestand gevraagd? Ken je de afzender? Past het bij de situatie?

Wat te doen bij een verdachte PDF

1. Niet openen of downloaden. Twijfel je? Verwijder het bericht.
2. Controleer de afzender: neem eventueel via een ander kanaal (bijv. telefonisch) contact op om te verifiëren of het bericht echt is.
3. Bekijk de extensie en bestandsgrootte: controleer of het echt een .pdf-bestand is en of de grootte logisch lijkt.
4. Scan het bestand met je betrouwbare beveiligingssoftware of gebruik een online scanner zoals.
5. Open het voorzichtig: als het echt niet anders kan, gebruik dan een up-to-date PDF-lezer met een beveiligde modus (zoals Protected View in Adobe).

Wat te doen als je een verdachte PDF al hebt geopend

1. Verbreek de internetverbinding om verdere datadiefstal te voorkomen.
2. Voer een volledige systeemscan uit met actuele beveiligingssoftware.
3. Controleer actieve processen en netwerkverbindingen op verdachte activiteit (laat dit eventueel door een professional doen).
4. Verander je wachtwoorden, vooral van financiële accounts, via een ander apparaat.
5. Meld het incident aan je IT- of securityteam als het op een werkcomputer gebeurde.

Tot slot: blijf nieuwsgierig, niet naïef

PDF’s blijven populair bij cybercriminelen omdat ze inspelen op ons vertrouwen. Onthoud: een kwaadaardig bestand ziet er zelden verdacht uit. Behandel elke onverwachte bijlage of link met gezonde argwaan en vertrouw op goede beveiliging om je gegevens en apparaten te beschermen. Met een paar simpele gewoonten kun je jezelf al goed beschermen tegen gevaarlijke PDF’s.