Как злоумышленники превращают файлы SVG в

Home Как злоумышленники превращают файлы SVG в
SVG фишинг

Как злоумышленники превращают файлы SVG в фишинговые приманки

Сегодня бизнесы сталкиваются с более быстрыми и незаметными фишинговыми атаками, которые выглядят безобидно, но сразу же запускают вредоносные скрипты, как только пользователь взаимодействует с вложением.
В частности, это верно для фишинга с помощью файлов формата SVG, когда то, что выглядит как изображение, на самом деле является текстом XML, способным содержать ссылки, переадресации и скрипты.

Почему формат SVG стал удобным для атак

  • SVG = Scalable Vector Graphic. Это векторная графика, заданная в текстовом формате XML, что позволяет внутри неё содержать вполне активный код (скрипты, обработчики событий, ссылки).
  • Такие файлы могут маскироваться под логотипы, кнопки, графику “счёта-фактуры” — и затем перенаправлять пользователя на фишинговую страницу для кражи учётных данных или угона сеанса.
  • Почтовые шлюз-фильтры и почтовые клиенты зачастую рассматривают вложения-изображения как безопасные, и формат SVG часто остаётся вне подозрения.

Интересные факты и статистика

  • По данным компании Hoxhunt, в 2024 году фишинг с SVG-вложениями составлял лишь около 0,1 % случаев. К первой половине 2025 года доля выросла до 4,9 %.
  • В марте 2025 года доля таких атак достигла примерно 15 % — показатель, свидетельствующий о стремительном росте этого вектора угроз.
  • Формат «вложение-изображение» + «функциональный код внутри файла» сочетает психологический + технический фактор обмана: пользователи видят графику → доверяют → кликают.
  • Атаки через SVG часто обходят классические сигнатуры, поскольку вложение под видом картинки содержит скрипт, base64-blob или внешние ссылки, которые не всегда проверяются на стандартных уровнях.

Пример цепочки атаки

  1. Жертва получает письмо с вложением SVG, которое выглядит как “счёт”, “инвойс” или “логотип компании”.
  2. Открытие файла отображает привычную графику, но файл содержит onmouseover или <script>-блок, ведущий на фишинговый сайт.
  3. Пользователь переходит по ссылке или вводит учётные данные — далее злоумышленник получает доступ, запускает дальнейшие действия.
  4. Проверки могут не сработать: файл “изображения” прошёл фильтры; код внутри SVG маскируется под визуальный контент.
  5. В итоге компрометация: кража учётных данных, сессий, возможно дальнейшее проникновение в инфраструктуру.

Что делать для защиты

  • Если вашей организации не нужны вложения SVG — блокируйте их на уровне шлюза или корпоративной почты.
  • Если разрешаете SVG — применяйте серверную очистку/дезинфекцию (CDR), удаляйте скрипты и внешние ссылки внутри файла перед доставкой.
  • Настройте фильтры, которые анализируют содержимое SVG-файлов, а не только расширения: ищите обработчики событий (onload, onmouseover), data:-URI, base64-вставки, внешние ссылки.
  • Обучайте сотрудников: объясняйте, что “графика” не всегда безопасна и что вложения могут скрывать код. Включайте такие случаи в практики фишинг-симуляций.
  • В инцидент-реакции: сохраняйте оригинал SVG, исследуйте в безопасной среде, ищите href, script, base64 внутри, проверяйте, не произошёл ли вход/сессия/2FA-сбой.

Вывод

Фишинг SVG – это не случайность. Это часть более широкой стратегии атак с файлами, которые выглядят безопасно, но содержат кодовые ловушки. Формат “изображения” вызывают доверие, но его текстовая сущность и функциональность делают его опасным.
Если SVG убирается из циркуляции — блокируйте. Если нужен — санкционируйте строго. Не относитесь к картинке как к безопасному вложению по умолчанию.