Οι επιχειρήσεις σήμερα αντιμετωπίζουν πιο γρήγορες, πιο κρυφές απειλές email που φαίνονται ρουτίνα, αλλά απελευθερώνουν επιθετικά κακόβουλα σενάρια τη στιγμή που ένας χρήστης δεσμεύεται. Αυτό ισχύει ιδιαίτερα όταν το δέλεαρ φτάνει ως συνημμένο που μοιάζει με ένα αβλαβές αρχείο εικόνας.
Το κενό αντίληψης είναι ακριβώς αυτό που εκμεταλλεύονται οι εισβολείς με το SVG phishing, όπου αυτό που φαίνεται να είναι ένα αρχείο SVG είναι στην πραγματικότητα κείμενο XML που μπορεί να φέρει συνδέσμους, ανακατευθύνσεις και συμπεριφορές με σενάριο.
Αυτά μπορούν να μεταμφιεστούν ως γραφικά λογότυπου, κουμπιού ή τιμολογίου και στη συνέχεια να παραδώσουν το θύμα σε μια ροή πειρατείας διαπιστευτηρίων ή συνεδρίας, το οποίο είναι ακριβώς το μοτίβο των ερευνητών από το ANY.RUN αναφέρθηκε πρόσφατα.
Οι δείκτες αναφοράς του κλάδου δείχνουν ότι αυτό δεν είναι μια θεωρητική περίπτωση. Επιθέσεις phishing SVG ήταν σχεδόν άγνωστα το 2024, αλλά αυξήθηκαν από το 0,1% των επιθέσεων εκείνο το έτος στο 4,9% του phishing μέχρι το πρώτο εξάμηνο του 2025, σύμφωνα με τον Hoxhunt.
Η παλίρροια φαίνεται να κορυφώθηκε τον Μάρτιο του τρέχοντος έτους στο 15%, υπογραμμίζοντας τον αυξανόμενο κίνδυνο αυτών των δολωμάτων καθώς οι αντίπαλοι αναζητούν μορφές που ξεφεύγουν από τις πολιτικές φιλτραρίσματος συνημμένων παλαιού τύπου.
Εν ολίγοις, ο συνδυασμός αξιόπιστης οπτικής σχεδίασης, παράδοσης με πρώτο συνημμένο και αρχείων εικόνας με δυνατότητα κωδικού εξηγεί γιατί το ηλεκτρονικό ψάρεμα SVG έχει μετακινηθεί από την περιέργεια στο συνηθισμένο.
Αυτός είναι ο λόγος για τον οποίο οι ομάδες ασφαλείας και οι υπεύθυνοι λήψης αποφάσεων θα πρέπει να συντονίζουν την πολιτική, την επιθεώρηση και την απόκριση έχοντας κατά νου αυτό το συγκεκριμένο διάνυσμα.
Γιατί το SVG Phishing είναι πρόβλημα τώρα
Ένα SVG είναι ένα διανυσματικό γραφικό κατασκευασμένο από κείμενο και XML, που σημαίνει ότι μπορεί να φέρει συνδέσμους, σενάρια και ανακατευθύνσεις. Συμπεριφέρεται περισσότερο σαν μια μικροσκοπική ιστοσελίδα παρά σαν μια στατική εικόνα.
Οι επιτιθέμενοι μπορούν να το οπλίσουν αυτό στέλνοντας μικρά συνημμένα SVG που αποδίδουν μια πειστική εικόνα αλλά ανακατευθύνουν σε έναν συγκομιστή διαπιστευτηρίων ή μια ροή παράκαμψης MFA.
Οι καμπάνιες ηλεκτρονικού “ψαρέματος” επισυνάπτουν ολοένα και περισσότερο συμπαγή αρχεία SVG που αποδίδουν εντολές πιστής επωνυμίας, όπως “προβολή τιμολογίου”, “επιβεβαίωση λογαριασμού”, “ανοιχτή δήλωση” και, στη συνέχεια, παραδίδονται σε ροές κλοπής διαπιστευτηρίων ή παραβίασης συνεδρίας μόλις κάνει κλικ ένας χρήστης.
Οι πύλες αλληλογραφίας και οι εφαρμογές πελατών έχουν ιστορικά αντιμετωπίσει αυτές τις «εικόνες» ως χαμηλού κινδύνου, παρόλο που το περιεχόμενο που βασίζεται σε κείμενο της μορφής SVG υποστηρίζει έντονη συσκότιση.
Το SVG phishing κερδίζει έδαφος όχι απαραίτητα επειδή οι χρήστες είναι απρόσεκτοι, αλλά επειδή ο τύπος αρχείου προσκαλεί άστοχη εμπιστοσύνη και τα εργαλεία γύρω από αυτό δεν έχουν καλύψει πλήρως.
Σε συνδυασμό με το στυλ αξιόπιστης επωνυμίας και τη βραχύβια υποδομή, τα δέλεαρ SVG phishing μπορούν να αποφύγουν τόσο την επιθεώρηση βάσει υπογραφών όσο και τη βιαστική ανθρώπινη κρίση.
Η πρώτη υπεκφυγή είναι ψυχολογική. Οι δέκτες αντιμετωπίζουν τις “εικόνες” ως ασφαλείς και κάνουν κλικ εύκολα, ενώ τα πιστά γραφικά μειώνουν την υποψία. Το δεύτερο είναι τεχνικό.
Τα SVG που βασίζονται σε κείμενο συσκευάζουν βασικά 64 blobs, JavaScript, εξωτερικές αναφορές ή URI δεδομένων που ορισμένα εργαλεία δεν απολυμαίνουν πλήρως στο επίπεδο συνημμένου.
Το τρίτο είναι λειτουργικό. Οι αντίπαλοι εναλλάσσουν τομείς και συνδέσμους CDN μέσα στον κώδικα SVG, έτσι ώστε ακόμη και όταν οι υπερασπιστές μπλοκάρουν ένα μονοπάτι, το δέλεαρ επαναδρομολογείται γρήγορα.
Αυτά τα χαρακτηριστικά βοηθούν το ηλεκτρονικό ψάρεμα SVG να ξεπερνά τις παλαιότερες τακτικές “macro doc” που έχουν αμβλυνθεί από τις σκληρυμένες προεπιλογές στο Office και τα προγράμματα-πελάτες αλληλογραφίας.
Για παράδειγμα, όπως και άλλοι πάροχοι ηλεκτρονικού ταχυδρομείου, η Microsoft απάντησε αποσύροντας την απόδοση SVG στο Outlook για Web και Windows, αφήνοντας αντ’ αυτού τα σύμβολα κράτησης θέσης.
Σκληρύνοντας τις άμυνές σας ενάντια στις απειλές SVG
Ξεκινήστε με την πολιτική. Εάν η επιχείρησή σας δεν βασίζεται σε συνημμένα SVG, αποκλείστε τα στην ασφαλή πύλη email και στην περίμετρο συνεργασίας, επιτρέποντας μόνο PNG/JPG για εικόνες.
Εάν πρέπει να επιτρέψετε τα SVG, επιβάλετε την απολύμανση από την πλευρά του διακομιστή και την αφόπλιση και ανακατασκευή περιεχομένου (CDR), έτσι ώστε τυχόν σενάρια, εξωτερικές αναφορές και χειριστές συμβάντων να αφαιρεθούν πριν από την παράδοση.
Αποδώστε SVG σε ένα πρόγραμμα προβολής sandbox που απαγορεύει εξωτερικές κλήσεις και JavaScript και καταγράψτε τυχόν απόπειρες εξερχόμενων αιτημάτων για κυνήγι απειλών.
Συντονίστε την πύλη αλληλογραφίας σας για ανάλυση μέσα στο SVG, όχι μόνο στο περιτύλιγμα. Αυτό σας δίνει τη δυνατότητα να επισημάνετε URI δεδομένων, χειριστές onload/onmouseover και ύποπτες αλυσίδες.
Τέλος, ευθυγραμμίστε τους πελάτες με ενημερωμένες ή πιο ασφαλείς προεπιλογές στην ενσωματωμένη συμπεριφορά SVG για την εξάλειψη ευκαιριακών επιθέσεων διαδρομής απόδοσης.
Αντιπολεμώντας με ανθρώπους και διαδικασίες
Η ευαισθητοποίηση ασφαλείας θα πρέπει να αντιμετωπίζει το “SVG” ως ενεργό τύπο αρχείου και όχι ως ασφαλή εικόνα. Έτσι, καθοδηγήστε τους υπαλλήλους να αναφέρουν απροσδόκητα συνημμένα μόνο με γραφικά από προμηθευτές ή επωνυμίες SaaS.
Δεδομένου ότι ο διάμεσος χρόνος μέχρι το φθινόπωρο είναι λιγότερο από ένα λεπτό, οι ροές εργασίας αυτόματης καραντίνας και τα κουμπιά αναφοράς με ένα κλικ είναι απαραίτητα για τη λήψη αντιγράφων από άλλα εισερχόμενα πριν από εκτεταμένα κλικ.
Οι προσομοιωμένες ασκήσεις θα πρέπει να περιλαμβάνουν σενάρια phishing SVG που μιμούνται τον πραγματικό σχεδιασμό επωνυμίας, σύντομα θέματα και κουμπιά παρότρυνσης για δράση.
Συνδυάστε το με επιτραπέζιες ασκήσεις όπου οι ομάδες αντιμετώπισης περιστατικών εξασκούνται στην εξαγωγή κακόβουλων SVG, στην απαρίθμηση εξωτερικών αναφορών και στον εντοπισμό κλοπής διαπιστευτηρίων στα αρχεία καταγραφής CASB και IdP.
Όσον αφορά την απόκριση συμβάντων και τις μετρήσεις, παρακολουθήστε τα ποσοστά επισκέψεων για καμπάνιες μόνο για συνημμένα ξεχωριστά από τα phishes μόνο για συνδέσμους έως τα κενά στην επιφάνεια που κρύβονται από τη μικτή αναφορά.
Ελέγξτε τις επικοινωνίες προμηθευτών που συνήθως περιλαμβάνουν εικόνες, όπως στοιχεία μάρκετινγκ, τιμολόγια και ετικέτες αποστολής. Αυτά μπορεί να είναι έτοιμα εξώφυλλα για δέλεαρ SVG phishing, εάν η λίστα επιτρεπόμενων είναι χαλαρή.
Απομονώστε το γραμματοκιβώτιο και αποτυπώστε το αρχικό συνημμένο και, στη συνέχεια, χρησιμοποιήστε ένα ασφαλές πρόγραμμα προβολής κειμένου για να ελέγξετε για εξωτερικές τιμές href, blobs base64 και χειριστές συμβάντων.
Οι τομείς με λίστα αποκλεισμού θα πρέπει να προστεθούν αμέσως στα φίλτρα αλληλογραφίας και ιστού και οι ομάδες ταυτότητας θα πρέπει να αναζητήσουν αρχεία καταγραφής IDP για νέες περιόδους σύνδεσης και προτροπές 2FA γύρω από το παράθυρο παράδοσης του δέλεαρ.
Εάν εισαγάγετε διαπιστευτήρια, πραγματοποιήστε αναγκαστική επαναφορά και ανάκληση κουπονιών ανανέωσης και, στη συνέχεια, παρακολουθήστε για την επανάληψη της αναπαραγωγής διακριτικών και τις χορηγήσεις συναίνεσης OAuth που καταχρώνται κατά τη διάρκεια του ηλεκτρονικού ψαρέματος.
Κλείστε τον βρόχο ενημερώνοντας τους κανόνες SEG για την ακριβή μέθοδο συσκότισης, έτσι ώστε η επόμενη παραλλαγή να εντοπιστεί νωρίτερα.
Η κατώτατη γραμμή
Το SVG phishing δεν είναι μόδα. Αποτελεί μέρος ενός ευρύτερου άξονα κοινωνικής μηχανικής με επίκεντρο τα αρχεία που εκμεταλλεύεται την ταχύτητα και την ασάφεια.
Καθώς οι πλατφόρμες αφαιρούν διαδρομές εύκολης απόδοσης, όπως το Outlook που εγκαταλείπει τα ενσωματωμένα SVG, το πλεονέκτημα επιστρέφει στους υπερασπιστές που συνδυάζουν πολιτική, επιθεώρηση και εκπαίδευση χρηστών.
Ωστόσο, οι επιτιθέμενοι θα συνεχίσουν να εξελίσσονται, επομένως οποιεσδήποτε βελτιώσεις στη διαδικασία θα πρέπει να αντιμετωπίζονται ως συνεχής ανάπτυξη ικανοτήτων, όχι ως εφάπαξ μπλοκ-λίστα.
Διατηρήστε το SVG phishing στο ραντάρ σας κατά τη διάρκεια τριμηνιαίων ελέγχων και επικυρώστε με ζωντανές ασκήσεις, έτσι ώστε η τεχνολογία και οι ανθρώπινες άμυνες σας να εξουδετερώσουν το δέλεαρ προτού να προκαλέσει οποιαδήποτε ζημιά.
Και πάλι, εάν δεν χρειάζεστε συνημμένα SVG, αποκλείστε τα. Αν το κάνετε, απολυμάντε τα και άμμο. Μην αντιμετωπίζετε τις εικόνες ως ασφαλείς.
Το SVG phishing ευδοκιμεί με ταχύτητα και άστοχη εμπιστοσύνη, αλλά μπορείτε να αναστρέψετε το σενάριο με απλή πολιτική, βαθύτερη επιθεώρηση και εξασκημένη απόκριση.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}