近年来，网络犯罪分子的攻击手段变得越来越复杂和隐蔽。其中，图形文件的滥用已经成为了一个重大的安全威胁。根据Sophos的最新研究，攻击者发现了一种通过电子邮件传播恶意链接和恶意软件的新方法，特别是利用一种称为可缩放矢量图形（SVG）的文件格式。这种新的攻击方式旨在绕过传统的终端或邮件保护工具，使攻击者能够更顺利地进行钓鱼攻击。

SVG文件与其他常见的图像格式（如JPEG、PNG或BMP）不同。SVG文件是基于文本的，使用一种类似于XML的指令来描述图形。因此，SVG文件能够包含超链接、脚本以及其他种类的活动网页内容，这使它们成为网络犯罪分子的理想工具。而且，SVG文件在Windows计算机上默认在浏览器中打开。攻击者最近利用这一点，将SVG文件作为钓鱼攻击的载体，欺骗用户点击从而污染其系统。

SVG钓鱼攻击的工作原理

在这些钓鱼攻击中，网络犯罪分子通过向受害者发送包含SVG文件的电子邮件来吸引他们。受害者打开电子邮件并运行该SVG文件，结果导致他们的浏览器打开一个带有恶意链接的页面，通常这些链接会引导他们访问一个骗子控制的网站。Sophos的研究表明，SVG文件可以使用简单的描述性文本，比如“点击打开”或“点击链接以收听语音邮件”，以诱使受害者轻松点击。

攻击者多次利用一些常见的社交工程手段来诱使受害者，例如使用声称是法律文件或重要公司通知的主题行。这类邮件的主题通常包括：

• 完成的合同与协议
• 最新语音邮件
• 支付确认
• 健康和福利登记

这些邮件通常伪装成来自一些知名品牌的通知，例如DocuSign、微软SharePoint、Dropbox和谷歌语音等。邮件内容常常简单且直接，甚至可能包含目标的邮箱前缀，使受害者感到更加真实。

一旦受害者点击了SVG文件中的链接，他们将被引导至一个钓鱼页面。大部分钓鱼页面会在访问时首先要求用户通过一个CloudFlare CAPTCHA进行人机验证，以阻止自动化攻击。随后，被欺骗的用户将被引导至一个伪造的Office 365登录对话框，该对话框旨在捕获用户的登录凭据。

绕过安全措施的新钓鱼技术

攻击者利用SVG文件的这一新方式展示出越来越聪明的钓鱼技术，能够有效地绕过传统的安全防护措施。更具攻击性的是，这类SVG钓鱼攻击能够模仿多个品牌和在线服务，甚至会根据受害者的地理位置调整内容语言，以提高其真实感。

选择使用可缩放矢量图形的根本原因在于，某些反垃圾邮件工具并不将SVG文件视为威胁。由于它们通常被视为图形文件，许多安全工具在分析和解析这些文件时可能无法识别其构造中的恶意内容。

受害者的数据泄露和信息盗用

一旦用户在钓鱼网站上输入自己的登录信息，许多受害者的凭据会立即被记录并直接泄露至控制该钓鱼页面的域名。而一些攻击者甚至可以同时将凭据发送至多个受害者的邮箱或其他目标。Sophos的专家观察到，某些情况下受害者的凭据信息会被传送到Telegram机器人，进一步表明网络犯罪分子已经采用了更复杂的数据窃取策略。

如何保护自己不受SVG钓鱼攻击的伤害

面对这种新的攻击方式，用户并非无计可施。首先，他们可以采取措施降低SVG文件的潜在危险。具体做法为将SVG文件的默认打开程序更改为简单的文本编辑器，比如记事本。操作步骤为：下载真实的SVG文件，右键单击文件，选择“打开方式 -> 选择其他应用”，然后选择一个安全的程序（如记事本），并勾选“始终使用此应用打开.svg文件”。这样，即使用户不小心点击了恶意SVG文件，也只能在记事本中打开，而无法运行潜在的恶意代码。

此外，用户遇到可疑邮件时，需保持警惕，仔细检查发件人的域名，确保其来自可信的来源。如果在浏览器中看到的URL不是通常的品牌网站（例如，域名以“.ru”结尾），那么这可能就是诈骗的迹象。始终警惕之前未与您联系的电子邮箱、模糊的主题内容和缺乏详细信息的消息，这都有助于您识别潜在的钓鱼攻击。

在这个数字化时代，网络犯罪分子的攻击手段无处不在，我们需要时刻保持警觉，维护网络安全。通过采用简单但有效的预防措施，您可以减轻潜在的风险，保护自己的信息安全。提高警惕、保持批判性思维，是避免成为钓鱼攻击受害者的最佳途径。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！