網絡釣魚攻擊（Phishing）長期高踞保安事故排行榜，加上騙徒手法層出不窮，不時出現新的釣魚手法。香港網絡安全事故協調中心（HKCERT）就發現過去一年間，與網絡釣魚相關的連結超過 48,000 條，整體狀況遠較去年高出 1.5 倍；而銀行、金融及電子支付行業更成為重災區。

Sophos X-Ops 團隊近日發布最新研究，揭示網絡釣魚攻擊手法正持續演變且日益猖獗。目前，網絡犯罪分子開始利用可縮放向量圖像檔案（Scalable Vector Graphics，SVG），以繞過系統針對釣魚攻擊和垃圾郵件的防護和過濾系統。

SVG 檔案基於可擴展標記語言（XML），用於表示向量圖形。SVG 不僅能顯示圖像，只要用上 <foreignObject> 這個元素，更可以用於顯示 HTML，並在載入圖像時執行 JavaScript。不法分子便是看準此特性，建立內含網絡釣魚 Excel 表單的 SVG 附件，收件者一旦登入表單的偽 Excel 電子表格，資料提交後即會直接傳送給黑客。

Sophos X-Ops 團隊發現自去年底起，釣魚詐騙集團開始向攻擊目標發送附有惡意 SVG 圖片的電郵。攻擊手法大致如下：

▪️網絡犯罪分子以電郵附件形式向攻擊目標發送 SVG 文件。 

▪️當攻擊目標點擊附件後，該附件將自動於瀏覽器開啟。 

▪️該 SVG 文件中內含的釣魚連結或 JavaScript 代碼，將於受害者的瀏覽器重新導向至含託管釣魚工具的網站。 

受害者通常被導向至假冒網頁，並隨之收到網站要求他們點擊某個按鈕以開啟 DocuSign、Dropbox 或 SharePoint 的文件，或訛稱他們收到來自 Google Voice 的語音訊息。 

其實去年香港就曾出現過不少 QR 條碼的釣魚攻擊，因當時 QR 條碼才剛開始普及使用，大家的保安意識較低，系統亦很少掃描電郵內含的 QR 條碼。而這一波的 SVG 釣魚攻擊，經 Sophos X-Ops 團隊進一步分析後，發現近半數惡意 SVG 檔案僅發送予單一攻擊目標，而相關文件更內含攻擊目標的電郵地址或姓名，可見行動經高度客製化，能精準針對企業進行攻擊。