北京
你有没有想过,一张看似普通的登录按钮、验证码图标,甚至网页上的小动画,可能正悄悄把你引向一个伪造的银行登录页?这不是科幻情节,而是正在发生的网络攻击新趋势。
近日,全球知名恶意软件分析平台VirusTotal披露了一起令人警觉的安全事件:在近期上传的文件中,有44个恶意SVG图像文件在提交时,未被任何一家杀毒引擎检测出异常。这意味着,这些文件在当时几乎可以“畅通无阻”地穿过绝大多数安全系统,成为黑客实施钓鱼攻击的“隐形武器”。
这一发现,揭开了网络安全领域一个长期被忽视的盲区——图像文件,尤其是SVG格式,正在被黑客用作攻击载体。
打开百度APP畅享高清图片
SVG不是普通图片,而是“会动的代码”
SVG,全称可缩放矢量图形(Scalable Vector Graphics),是一种基于XML的矢量图像格式。它广泛应用于网页设计、APP界面、电子邮件模板中,因其清晰缩放、体积小巧而深受开发者喜爱。
但很多人不知道的是,SVG本质上不是一张“静态图”,而是一段可执行的代码。
“很多人以为图片就是图片,点开看看而已。”公共互联网反网络钓鱼工作组技术专家芦笛解释道,“但SVG不同,它支持内嵌JavaScript脚本、加载外部资源、绑定点击事件——换句话说,它更像一个微型网页,而不是一张照片。”
黑客正是利用了这一点。他们将恶意代码隐藏在SVG文件中,比如:
在图像上绑定onclick事件,用户一点就跳转到钓鱼网站;
通过
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
