Исследование компании Sophos, опубликованное 5 февраля 2025 года, выявило новую угрозу в сфере фишинга: использование файлов формата SVG (Scalable Vector Graphics) для обхода существующих систем защиты от спама и фишинга. Этот метод позволяет злоумышленникам доставлять вредоносные ссылки, минуя фильтры безопасности, поскольку файлы SVG считаются безвредными изображениями.
Как работает атака
Фишинговое письмо. Жертва получает электронное письмо с вложением в формате SVG. Тема письма может варьироваться — от уведомлений о пропущенных голосовых сообщениях до просьб подписать важный документ. Такие сообщения выглядят убедительно и нередко содержат логотипы известных сервисов.
SVG-файл. В отличие от обычных изображений (JPEG, PNG), файлы SVG хранят данные в формате XML и могут содержать встроенные гиперссылки и даже JavaScript-код. Злоумышленники используют эту особенность, вставляя в изображение скрытую ссылку на фишинговый сайт.
Перенаправление на поддельную страницу. Когда пользователь открывает SVG-файл в браузере и кликает по изображению, он попадает на сайт, имитирующий легитимный сервис — Microsoft 365, DocuSign, SharePoint и т. д. Там ему предлагается ввести логин и пароль.
Кража учетных данных. После ввода данных злоумышленники получают доступ к аккаунту жертвы, что может привести к компрометации корпоративных систем и дальнейшему распространению атак.
Почему этот метод эффективен
- SVG-файлы не вызывают подозрений у большинства пользователей.
- Браузеры по умолчанию открывают их без предупреждений.
- Многие антивирусы и почтовые фильтры не расценивают SVG как потенциально опасный контент.
- Атака не требует загрузки исполняемых файлов, что снижает вероятность срабатывания защитных механизмов.
Как защититься
- Ограничить открытие файлов SVG в браузерах и настроить их открытие через текстовый редактор.
- Обращать внимание на отправителей и проверять, откуда пришло письмо.
- Не кликать по вложениям без проверки и использовать предварительный просмотр файлов.
- Активировать двухфакторную аутентификацию (2FA) для защиты учетных записей.
- Обучать сотрудников выявлять фишинговые атаки.
Обучение — ключ к защите
Этот случай еще раз доказывает: злоумышленники адаптируются к защите и находят новые лазейки. Технические решения важны, но не менее важен человеческий фактор. Чаще всего успех атаки зависит от невнимательности или незнания пользователя.
Обучение кибербезопасности помогает сотрудникам распознавать даже самые нестандартные угрозы. Например, после тренинга сотрудники будут знать, что файлы SVG могут содержать опасные ссылки, и смогут вовремя распознать подозрительное письмо.
Вместо того чтобы полагаться только на автоматическую защиту, компании должны внедрять программы обучения. Чем лучше подготовлены сотрудники, тем сложнее злоумышленникам реализовать свои схемы.
SVG-фишинг — это напоминание о том, что киберугрозы постоянно эволюционируют, а значит, обучение и бдительность остаются главными инструментами защиты.