I 2019 identificerede Palo Alto Networks 411.800 ondsindede PDF-filer. I 2020 var antallet steget til over fem millioner. Dette svarer til en stigning på over 1.000 procent på et år.

Ved hjælp af et layout og design, der opfattes som troværdigt, narres brugerne til at klikke på billeder eller taster i PDF-dokumenter. Links i PDF-filen fører sjældent direkte til det websted, hvor den faktiske phishing udføres. For at maskere angrebet bruger angribere ofte en kæde af websider, hvor brugeren umærkeligt omdirigeres flere gange undervejs. Omdirigering giver også angriberen mulighed for dynamisk at omdirigere trafikken og ændre links, når en af de destinationssider, de bruger, identificeres og blokeres.

Palo Alto Networks har identificeret fem typiske og almindelige angreb, der i øjeblikket distribueres via PDF-filer.

• Falske Captcha - Ofte narres brugere til at interagere med et falsk captcha-robotfilter, der kun består af et billede. Et klik på "fortsæt" fører brugeren til det websted, hvor phishing finder sted.

• Rabattilbud - et billede eller en knap i dokumenterne med et aggressivt rabattilbud. Lokker brugeren til at klikke og dermed transportere sig selv til en webside.

• Afspil-tast - et statisk billede, der indeholder en afspilningstast. Brugeren nares til at tro, at der er en indlejret film, der kan startes ved hjælp af tasten.

• Delte filer - brugere bliver bedt om at klikke for at få adgang til en fil, som nogen har delt med dem. Billedet indeholder logo og tekst fra almindelige tjenester såsom Dropbox eller Onedrive og ser legitimt ud.

• E-handel - ofte opfordringer til at opdatere forældede kunde- eller kreditkortoplysninger. Angriberen kopierer udseendet på velkendte e-handelswebsteder og opretter en PDF-fil, der ser reel ud. Når der klikkes, transporteres brugeren til den side, hvor angrebet finder sted.