關鍵詞

網絡釣魚

網絡釣魚已不再僅僅局限于那些可疑的鏈接和措辭拙劣的電子郵件。根據 Kaspersky 的一份新報告，威脅行為者現在正將超文本標記語言（HTML）和 JavaScript 代碼嵌入到可縮放矢量圖形（SVG）文件中，從而將簡單的圖像變成了悄無聲息且有效的網絡釣魚武器。

SVG 是一種使用可擴展標記語言（XML）來描述二維矢量圖形的格式。雖然它通常用于圖像，但與像 JPEG 或 PNG 這樣的格式不同，SVG 基于 XML 的特性使其能夠支持 JavaScript 和 HTML。這種原本是為了讓設計師能夠處理文本和交互式內容等元素而具備的靈活性，如今正被攻擊者利用。

攻擊者正在精心制作包含嵌入腳本的 SVG 文件，這些腳本中帶有指向網絡釣魚頁面的鏈接。在一個典型的場景中，用戶會收到一封帶有 SVG 附件的電子郵件。雖然這封郵件可能會將附件標識為一張圖片，但在文本編輯器中打開它時就會顯示出 HTML 代碼。

Kaspersky 的報告用一個例子來說明了這一點：一個 SVG 文件看起來像是一個 HTML 頁面，上面有一個指向音頻文件的鏈接。點擊這個鏈接會將用戶重定向到一個偽裝成 Google Voice 的網絡釣魚頁面。這個旨在竊取用戶憑據的頁面，甚至還包含了目標公司的標志，使其看起來更加可信。

在另一個例子中，攻擊者使用了一個 SVG 附件來模仿一項電子簽名服務，利用 JavaScript 彈出一個帶有虛假微軟登錄表單的瀏覽器窗口。

Kaspersky 的遙測數據顯示，利用 SVG 進行的網絡釣魚活動大幅增加。報告中指出：“我們的遙測數據表明，在 2025 年 3 月期間，利用 SVG 進行的攻擊活動顯著增多。僅在今年的第一季度，我們就發現了 2825 封這類電子郵件。” 這種上升趨勢一直持續到了 4 月，這表明威脅在不斷加劇。

該報告強調了網絡釣魚者的適應性：“網絡釣魚者正在不懈地探索新的技術來規避檢測。” 雖然目前利用 SVG 進行的網絡釣魚攻擊相對簡單，通常涉及網絡釣魚鏈接或重定向腳本，但可能出現更復雜攻擊的潛在風險令人擔憂。

將 SVG 用作惡意內容的載體帶來了巨大的風險。正如報告所總結的那樣：“SVG 格式具備在圖像中嵌入 HTML 和 JavaScript 代碼的能力，而攻擊者正是在濫用這一特性。”

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！