Se está usando la librería opensource PDF.js para renderizar el PDF en un canvas, así no carga el visor del navegador ni aparece un menú de herramientas.
La URL del pdf y su descarga asíncrona se encuentran en el código javascript.
El código javascript ha sido ofuscado usando la herramienta online javascriptobfuscator
Con la propiedad css 'pointer-events: none;' en el canvas se está evitando que el usuario clique en el botón derecho para descargar. En caso de que el usuario elimine la propiedad, también se está bloqueando el botón derecho sobre el canvas en el js ofuscado.
Aún así, es sencillo ir a la pestaña Network de la consola de desarrollo y obtener la url de la petición. Por ello, se ha protegido el PDF con contraseña
Incluso así, con conocimientos de programación, sería posible obtener la password del documento en el js ofuscado y la ruta en la pestaña Network, obteniendo el PDF original.