Kaspersky 观察到,通过可缩放矢量图形(SVG)图像文件发起的网络钓鱼攻击数量急剧上升,2025 年 3 月的相关事件数量相比前一个月几乎增长了五倍(是前一个月的近六倍)。
这家网络安全公司报告称,攻击者正在向个人和组织发送网络钓鱼电子邮件,邮件中带有 SVG(可缩放矢量图形)文件附件 —— 这种格式通常用于图像存储 —— 以此引诱收件人泄露敏感信息。
据 Kaspersky 称,打开这些恶意的 SVG 文件会将毫无防备的用户引导至模仿 Google 和 Microsoft 等公司热门服务的网络钓鱼网站。这些欺诈性页面旨在获取用户的登录凭据,使受害者面临严重的个人和经济损失风险。自 2025 年初以来,该公司已在全球范围内检测到超过 4000 封此类电子邮件。
SVG 文件使用可扩展标记语言(XML),这是一种支持定义各种数据类型规则的标记语言。虽然这种格式旨在帮助设计师将文本、公式和交互功能融入图像中,但它与 JavaScript 和超文本标记语言(HTML)的兼容性使其对网络犯罪分子具有吸引力。攻击者可以在 SVG 文件中嵌入脚本,当文件被打开时,这些脚本会将受害者重定向到网络钓鱼网站,他们常常利用收件人对图像附件的好奇心来达到目的。
在 Kaspersky 描述的一个典型场景中,SVG 附件充当了一个不包含任何实际图形的 HTML 页面。当打开该文件时,会显示一个网页,上面有一个声称是音频文件的链接。点击该链接会将用户重定向到一个设计得像 Google Voice 的网络钓鱼页面,而所谓的音频实际上只是一张静态图片。
进一步的交互操作,比如按下 “播放音频” 按钮,会将用户引导至一个虚假的企业电子邮件登录页面。这个冒牌网站会提及 Google Voice,并使用目标公司的标志来增强其可信度,从而诱使用户输入他们的凭据。
Kaspersky 还记录了这种攻击方式的一个变体,攻击者发送的网络钓鱼电子邮件看似是来自一家电子签名服务公司的通知。在这种情况下,SVG 附件被伪装成一份需要查看和签名的文档。该 SVG 文件并不充当 HTML 页面,而是包含 JavaScript 代码,一旦被打开,就会触发一个浏览器窗口,显示另一个虚假的登录页面 —— 这次模仿的是 Microsoft 的一项服务。
Kaspersky 的反垃圾邮件专家 Roman Dedenok 评论道:“网络钓鱼者正在不懈地探索新的技术来规避检测。他们会改变策略,有时会利用用户重定向来制造混淆,有时则会尝试使用不同的附件格式。带有 SVG 附件的攻击呈现出明显的上升趋势。虽然目前这些攻击相对基础,SVG 文件要么包含一个网络钓鱼链接页面,要么包含一个重定向到欺诈网站的脚本,但 SVG 作为恶意内容的载体,也可能被用于更复杂的定向攻击。”
Kaspersky 提供了一些建议,以帮助个人和企业避免成为这些攻击活动的受害者。相关指导包括:仅在发件人可信的情况下打开电子邮件并点击链接;通过其他通信方式仔细核实可能存在异常的邮件;仔细检查网站的统一资源定位符(URL),留意细微的错误,比如用一个看起来相似的数字替换字母;以及在浏览互联网时使用可靠的安全解决方案。
发表评论
您还未登录,请先登录。
登录