黑客為了避過偵測無所不用其極,最近就用上可縮放向量圖像檔案(SVG)作為掩飾,繞過針對釣魚攻擊和垃圾郵件的防護和過濾系統。
Sophos X-Ops 團隊發現,黑客自去年底起向目標發送附有 SVG 圖片的釣魚電郵。該 SVG 圖片內含有釣魚連結或 JavaScript 代碼,當受害者點擊該附件後會將他的瀏覽器重新導向至假冒網頁,隨之要求受害者點擊某個按鈕以開啟 DocuSign、Dropbox 或 SharePoint 等文件,或訛稱他收到來自 Google Voice 的語音訊息。總之用盡方法讓害受者點擊其連結或提供登入等密碼,從中竊取其個人資料。
SVG 檔案是一種基於 XML 的圖形格式,用於描述二維矢量圖形,具有縮放不影響質素;以文本格式編寫可以被編輯和生成,並可以在任何文本編輯器中查看;支援動畫和互動,允許使用者與圖形進行交互,例如通過錨標籤和 JavaScript進行動態更新;可與 CSS 結合使用,為圖形添加樣式和效果,令設計更加靈活;獲主流瀏覽器支援,可直接在網頁中嵌入和顯示 SVG 圖形等等的好處,因而被廣泛應用於圖形設計、網頁開發和流動應用程序中。
正因為 SVG 可包含連結標籤、腳本及其他類型的活動網頁內容,同樣被黑客看中。Sophos X-Ops 團隊的分析指,近半數的惡意 SVG 檔案只發送予單一受害者,而相關文件更內含受害者的電郵地址或姓名,可見攻擊經高度個人化,能精準針對企業進行攻擊。
「網絡釣魚攻擊」過去一直活躍於香港,香港網絡安全事故協調中心(HKCERT)發現,在 2024 年與網絡釣魚相關的連結超過 48,000 條,整體狀況遠較 2023 年多出 1.5 倍,而銀行、金融及電子支付行業更成為重災區。