Новый SVG-фишинг — когда красивая картинка выполняет код и обходит двухфакторку
NewsMakerЛоготип в подписи письма может оказаться ловушкой для ваших паролей.
За последние полгода SVG-файлы неожиданно стали излюбленным инструментом киберпреступников для проведения фишинговых атак через электронную почту. Этот вектор доставки вредоносного кода стремительно набирает популярность, и всё больше компаний фиксируют резкий рост подобных угроз.
Согласно отчётам более десятка компаний, включая AhnLab , Cloudflare , Forcepoint , Intezer , Kaspersky , Keep Aware , KnowBe4 , Mimecast , Sophos , Sublime Security , Trustwave и VIPRE , использование SVG-файлов в фишинговых рассылках стало заметной тенденцией. Особенно выделяется анализ от Sublime Security: в первом квартале 2025 года такие вложения уже составляют 1% от всех попыток фишинга, обнаруженных их системой.
Но цифры становятся по-настоящему тревожными, если взглянуть на динамику. По сравнению с четвёртым кварталом 2024 года, число фишинговых SVG-файлов выросло на поразительные 47 000%. Это означает не просто всплеск интереса, а настоящий взрыв — и всё указывает на то, что такая тенденция закрепляется надолго.
Причина кроется в особенностях самого формата. В отличие от обычных изображений, SVG — это текстовый XML-файл, в котором геометрия фигур описывается математическими формулами. При открытии файла, браузер или почтовый клиент интерпретирует код и отрисовывает изображение в реальном времени. Это значит, что на экране пользователя отображается не картинка в привычном смысле, а результат исполнения кода.
Именно здесь кроется главная уязвимость: SVG может содержать не только описания фигур, но и полноценные HTML- и JavaScript-компоненты — базовые кирпичики современной веб-разработки. Это превращает изображение в полноценный исполняемый контейнер.
Теперь вместо того, чтобы заманивать пользователя на фишинговый сайт, злоумышленники просто встраивают вредоносный код прямо в SVG-файл. Типичный пример — логотип в подписи электронного письма. Получатель открывает письмо, и, не покидая почтового клиента, запускает скрипт, отрисовывающий фишинговую страницу прямо на его устройстве. Введённые на этой странице логины и пароли немедленно отправляются злоумышленникам. Некоторые реализации даже позволяют обойти двухфакторную аутентификацию.
Более того, в некоторых случаях SVG способен автоматически перенаправлять пользователя на вредоносный сайт без кликов — достаточно просто открыть письмо. Браузер или почтовый клиент прочитает файл и выполнит указанный в нём сценарий.
Команда безопасности Cloudflare охарактеризовала SVG-файлы как «программируемые документы». Это определение метко отражает суть проблемы: такие «изображения» способны выполнять произвольный код и вести себя как активный контент, а не как статическая графика.
Ранее уже отмечались попытки использования SVG-файлов в фишинге — первые предупреждения появились в ноябре прошлого года . Но нынешний рост показывает, что это не временная мода, а серьёзная и надолго закрепившаяся угроза . Эксперты указывают, что ситуация не изменится, пока крупные почтовые сервисы — такие как Gmail, Hotmail и iCloud Mail — не начнут активно фильтровать содержимое SVG-файлов, ограничивать выполнение интерактивных компонентов или вовсе не запретят использование формата в электронных письмах .
За последние полгода SVG-файлы неожиданно стали излюбленным инструментом киберпреступников для проведения фишинговых атак через электронную почту. Этот вектор доставки вредоносного кода стремительно набирает популярность, и всё больше компаний фиксируют резкий рост подобных угроз.
Согласно отчётам более десятка компаний, включая AhnLab , Cloudflare , Forcepoint , Intezer , Kaspersky , Keep Aware , KnowBe4 , Mimecast , Sophos , Sublime Security , Trustwave и VIPRE , использование SVG-файлов в фишинговых рассылках стало заметной тенденцией. Особенно выделяется анализ от Sublime Security: в первом квартале 2025 года такие вложения уже составляют 1% от всех попыток фишинга, обнаруженных их системой.
Но цифры становятся по-настоящему тревожными, если взглянуть на динамику. По сравнению с четвёртым кварталом 2024 года, число фишинговых SVG-файлов выросло на поразительные 47 000%. Это означает не просто всплеск интереса, а настоящий взрыв — и всё указывает на то, что такая тенденция закрепляется надолго.
Причина кроется в особенностях самого формата. В отличие от обычных изображений, SVG — это текстовый XML-файл, в котором геометрия фигур описывается математическими формулами. При открытии файла, браузер или почтовый клиент интерпретирует код и отрисовывает изображение в реальном времени. Это значит, что на экране пользователя отображается не картинка в привычном смысле, а результат исполнения кода.
Именно здесь кроется главная уязвимость: SVG может содержать не только описания фигур, но и полноценные HTML- и JavaScript-компоненты — базовые кирпичики современной веб-разработки. Это превращает изображение в полноценный исполняемый контейнер.
Теперь вместо того, чтобы заманивать пользователя на фишинговый сайт, злоумышленники просто встраивают вредоносный код прямо в SVG-файл. Типичный пример — логотип в подписи электронного письма. Получатель открывает письмо, и, не покидая почтового клиента, запускает скрипт, отрисовывающий фишинговую страницу прямо на его устройстве. Введённые на этой странице логины и пароли немедленно отправляются злоумышленникам. Некоторые реализации даже позволяют обойти двухфакторную аутентификацию.
Более того, в некоторых случаях SVG способен автоматически перенаправлять пользователя на вредоносный сайт без кликов — достаточно просто открыть письмо. Браузер или почтовый клиент прочитает файл и выполнит указанный в нём сценарий.
Команда безопасности Cloudflare охарактеризовала SVG-файлы как «программируемые документы». Это определение метко отражает суть проблемы: такие «изображения» способны выполнять произвольный код и вести себя как активный контент, а не как статическая графика.
Ранее уже отмечались попытки использования SVG-файлов в фишинге — первые предупреждения появились в ноябре прошлого года . Но нынешний рост показывает, что это не временная мода, а серьёзная и надолго закрепившаяся угроза . Эксперты указывают, что ситуация не изменится, пока крупные почтовые сервисы — такие как Gmail, Hotmail и iCloud Mail — не начнут активно фильтровать содержимое SVG-файлов, ограничивать выполнение интерактивных компонентов или вовсе не запретят использование формата в электронных письмах .