网络钓鱼已不再仅仅局限于那些可疑的链接和措辞拙劣的电子邮件。根据 Kaspersky 的一份新报告，威胁行为者现在正将超文本标记语言（HTML）和 JavaScript 代码嵌入到可缩放矢量图形（SVG）文件中，从而将简单的图像变成了悄无声息且有效的网络钓鱼武器。

SVG 是一种使用可扩展标记语言（XML）来描述二维矢量图形的格式。虽然它通常用于图像，但与像 JPEG 或 PNG 这样的格式不同，SVG 基于 XML 的特性使其能够支持 JavaScript 和 HTML。这种原本是为了让设计师能够处理文本和交互式内容等元素而具备的灵活性，如今正被攻击者利用。

攻击者正在精心制作包含嵌入脚本的 SVG 文件，这些脚本中带有指向网络钓鱼页面的链接。在一个典型的场景中，用户会收到一封带有 SVG 附件的电子邮件。虽然这封邮件可能会将附件标识为一张图片，但在文本编辑器中打开它时就会显示出 HTML 代码。

模仿 Google Voice 的网络钓鱼网页 |图片来源： Kaspersky

Kaspersky 的报告用一个例子来说明了这一点：一个 SVG 文件看起来像是一个 HTML 页面，上面有一个指向音频文件的链接。点击这个链接会将用户重定向到一个伪装成 Google Voice 的网络钓鱼页面。这个旨在窃取用户凭据的页面，甚至还包含了目标公司的标志，使其看起来更加可信。

在另一个例子中，攻击者使用了一个 SVG 附件来模仿一项电子签名服务，利用 JavaScript 弹出一个带有虚假微软登录表单的浏览器窗口。

网络钓鱼登录表单 |图片来源： Kaspersky

Kaspersky 的遥测数据显示，利用 SVG 进行的网络钓鱼活动大幅增加。报告中指出：“我们的遥测数据表明，在 2025 年 3 月期间，利用 SVG 进行的攻击活动显著增多。仅在今年的第一季度，我们就发现了 2825 封这类电子邮件。” 这种上升趋势一直持续到了 4 月，这表明威胁在不断加剧。

该报告强调了网络钓鱼者的适应性：“网络钓鱼者正在不懈地探索新的技术来规避检测。” 虽然目前利用 SVG 进行的网络钓鱼攻击相对简单，通常涉及网络钓鱼链接或重定向脚本，但可能出现更复杂攻击的潜在风险令人担忧。

将 SVG 用作恶意内容的载体带来了巨大的风险。正如报告所总结的那样：“SVG 格式具备在图像中嵌入 HTML 和 JavaScript 代码的能力，而攻击者正是在滥用这一特性。”