近年香港持續面對層出不窮的網絡安全事故,其中以日益猖獗的「網絡釣魚攻擊」引起公眾廣泛關注。香港網絡安全事故協調中心 (HKCERT) 數據顯示,在過去一年間,與網絡釣魚相關的連結高達48,000條,較去年暴增1.5倍,情況令人擔憂。銀行、金融及電子支付行業更成為攻擊目標的重災區。
新興釣魚技術:SVG 圖片檔案成為攻擊新途徑
網絡安全公司 Sophos X-Ops 團隊近日發布的最新研究揭示,網絡釣魚攻擊手法正持續演變且變得更加複雜。研究發現,網絡犯罪分子現已開始利用可縮放向量圖像檔案 (SVG; Scalable Vector Graphics) 來繞過系統針對釣魚攻擊和垃圾郵件的防護和過濾系統。
SVG 檔案與可擴展標記語言 (XML) 的格式相似,兩者均可用於繪製圖片。不法分子看準這一特性,自去年底起開始向受害人發送附有惡意 SVG 圖片的電郵,藉此散播釣魚攻擊。
攻擊手法剖析
根據 Sophos X-Ops 團隊的研究,這類釣魚攻擊的手法如下:
- 網絡犯罪分子以電郵附件形式向受害者發送 SVG 文件
- 當受害者點擊附件後,該附件將自動於瀏覽器開啟
- SVG 文件中內含的釣魚連結或 JavaScript 代碼,會在受害者的瀏覽器中執行,並將用戶重新導向至含託管釣魚工具的網站
受害者通常被導向至假冒網頁,隨後收到網站要求點擊某個按鈕以開啟 DocuSign、Dropbox 或 SharePoint 的文件,或訛稱他們收到來自 Google Voice 的語音訊息,誘導受害者提供敏感資訊或憑證。
高度客製化的精準攻擊
更令人憂慮的是,Sophos X-Ops 團隊進一步分析發現,近半數的惡意 SVG 檔案僅發送予單一受害者,且相關文件內含受害者的電郵地址或姓名。這顯示該類攻擊已經高度客製化,能精準針對特定企業或個人進行攻擊,大大提高了攻擊的成功率。
這種針對性攻擊通常被稱為「魚叉式網絡釣魚」(Spear Phishing),攻擊者會針對目標進行前期調查,以獲取個人資訊,使釣魚郵件看起來更加可信和真實,從而誘騙受害者上當。
Sophos 加強網絡安全服務組合
為應對不斷演變的網絡威脅,Sophos 於2025年2月正式收購 Secureworks,進一步融合雙方的創新技術,並加快提升原生 AI 技術的服務發展。此次合併使 Sophos 成為全球最大的純託管式網路偵測與回應 (MDR) 服務供應商,目前為超過28,000間企業提供網絡防護。
除了 MDR 等服務外,Sophos 為企業提供一系列完整的產品組合,服務涵蓋端點、網絡、電子郵件和雲端等數碼環境。Sophos Central 平台將能無縫整合所有產品及服務,有助用戶自動適應及防禦各類先進攻擊。Secureworks 則提供創新的 Taegis XDR/MDR 平台、身份威脅偵測與回應 (ITDR)、新一代 SIEM 功能、風險管理及全方位安全諮詢服務等。
Sophos 透過各大經銷商、託管服務供應商 (MSP) 及託管安全服務供應商 (MSSP),目前保護全球超過60萬個機構,免受主動攻擊者、勒索軟件、網絡釣魚、惡意軟件及各類常見與國家級網絡等攻擊。所有解決方案均由 Sophos X-Ops 及新加入的 Counter Threat Unit (CTU) 提供即時威脅情報支援。
編輯觀點:圖像檔案成為進階魚叉式攻擊的完美載體
這次 Sophos 揭露的 SVG 圖片檔案攻擊手法,實在令人不寒而慄。這不僅顯示網絡攻擊者的手法越來越狡猾,更表明他們已經開始走向「精準打擊」的攻擊模式。當大多數企業仍在對抗大規模垃圾郵件和傳統釣魚攻擊時,這種客製化的精準攻擊其實更為致命。特別值得注意的是,SVG 作為一種圖像格式,在企業環境中通常被視為「安全」的檔案類型。大多數員工不會對收到的圖片檔案產生警惕,更不用說去檢查其內部代碼。這正是攻擊者所利用的心理弱點。
