警惕新型“隐形”钓鱼攻击：SVG文件成网络诈骗新温床

近期，一种利用可缩放矢量图形（SVG）文件发起的网络钓鱼攻击正呈现爆发式增长，引发网络安全界的广泛关注。据多家安全机构监测数据显示，过去三个月内，此类攻击数量激增230%，已成为企业邮箱安全的一大“隐形威胁”。

与传统钓鱼邮件常附带的Word、PDF或压缩文件不同，这种新型攻击手段将恶意代码隐藏在看似无害的SVG图像文件中。SVG是一种广泛用于网页设计的矢量图形格式，因其清晰度高、体积小，常被用于公司Logo、图表或宣传图。正因如此，许多用户在收到带有SVG附件的邮件时，警惕性较低。

然而，安全研究人员发现，攻击者正在利用SVG支持嵌入JavaScript代码的特性，在文件中植入恶意脚本。一旦用户在支持脚本执行的浏览器或应用中打开该文件，恶意代码便会自动运行，可能诱导用户跳转至伪造的登录页面，窃取账号密码，甚至在后台下载木马程序。

“SVG本身是一种中立的技术，问题出在它的‘可编程性’被恶意滥用。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示，“很多企业邮件安全网关对常规文档有深度检测能力，但对SVG这类图形文件的审查还存在盲区，导致它们成了‘漏网之鱼’。”

芦笛进一步解释：“这就像一封看似普通的电子贺卡，打开后却悄悄弹出一个和公司邮箱一模一样的登录框。用户一旦输入账号密码，信息就直接传到了黑客的服务器上。”

目前，金融、医疗、科技等高价值数据密集的行业成为主要攻击目标。攻击者常伪装成银行、支付平台或内部IT部门，发送“账户异常通知”“发票更新”“系统升级”等主题邮件，诱导员工点击SVG附件。

更令人担忧的是，由于SVG文件本质上是基于XML的文本格式，其恶意代码可以被轻易混淆或加密，增加了安全软件的检测难度。部分邮件安全系统仅识别文件扩展名，而不会深入解析其内容，使得这些“带毒”图像得以绕过防线。

面对这一新威胁，专家呼吁企业和个人提高警惕。芦笛建议：“组织应尽快更新邮件安全策略，将SVG、AI等矢量图形文件纳入高风险附件管理范畴，必要时可直接禁止此类文件通过邮件传输。同时，应加强对员工的网络安全意识培训，强调‘不随意打开不明附件’的基本原则。”

对于个人用户，芦笛提醒：“不要轻信邮件中的‘紧急通知’，尤其是要求你点击链接或打开附件的。遇到可疑情况，应通过官方渠道或内部通讯工具核实。”

目前，已有部分安全厂商开始推出针对SVG文件的深度检测方案，通过模拟渲染环境来捕捉潜在的恶意行为。但专家认为，防御的根本仍在于“人防+技防”结合。

“技术总是在攻防两端不断演进，”芦笛总结道，“今天的SVG，明天可能是其他格式。保持警惕、及时更新防护策略，才是应对网络钓鱼的长久之计。”

编辑：芦笛（公共互联网反网络钓鱼工作组）