Phishing przez załączniki SVG w firmowej poczcie

TL;DR

Phishing przez załączniki SVG wykorzystuje fakt, że użytkownicy kojarzą SVG z obrazem, ikoną lub grafiką. W praktyce taki plik może działać jak mała strona internetowa otwierana w przeglądarce. Może zawierać skrypt, przekierowanie albo treść prowadzącą do fałszywego logowania.

SANS Internet Storm Center opisał falę wiadomości, w których nie było klasycznego linku w treści e-maila. Przynętą był załącznik SVG. To ważne, bo wiele osób nauczyło się patrzeć na podejrzane linki, ale nadal traktuje plik graficzny jako mniej ryzykowny.

Dla firm oznacza to konieczność szerszego spojrzenia na phishing. Niebezpieczny może być nie tylko adres URL w wiadomości, ale też załącznik, który po otwarciu sam uruchamia scenariusz. W awareness trzeba więc ćwiczyć reakcję na pliki, a nie tylko na linki.

SVG wygląda jak grafika, ale może zachowywać się jak strona

SVG, czyli Scalable Vector Graphics, jest formatem grafiki wektorowej. Używa się go do ikon, logotypów, wykresów, ilustracji i elementów interfejsu. Dla użytkownika to często po prostu obrazek. Dla przeglądarki to jednak dokument oparty o XML, który może być renderowany podobnie jak strona.

Właśnie ta cecha jest wykorzystywana w phishingu. Atakujący nie musi umieszczać linku w treści wiadomości. Wystarczy, że dołączy plik SVG i nada mu nazwę sugerującą fakturę, skan, potwierdzenie, raport, dokument dostawy albo grafikę do akceptacji. Po otwarciu użytkownik może zobaczyć treść kontrolowaną przez atakującego.

To zmienia typowy moment decyzji. W klasycznym phishingu użytkownik ocenia nadawcę, treść i link. W scenariuszu z SVG link może nie pojawić się w treści wiadomości. Przynęta jest ukryta w załączniku, który wygląda mniej groźnie niż archiwum ZIP lub plik wykonywalny.

Dla zespołów bezpieczeństwa to również problem detekcyjny. Reguły skupione na linkach w treści wiadomości mogą nie zobaczyć pełnego łańcucha, jeśli złośliwa logika znajduje się dopiero w pliku.

Dlaczego taki załącznik działa na użytkownika

Użytkownicy są przyzwyczajeni do tego, że załączniki graficzne są względnie bezpieczne. Zdjęcie, logo, skan, wykres czy podgląd dokumentu nie kojarzą się z logowaniem do fałszywej strony. SVG wykorzystuje tę lukę poznawczą.

Wiadomość nie musi być skomplikowana. Może informować o fakturze, korekcie danych, skanie zamówienia, pliku od kuriera, dokumencie HR albo potwierdzeniu odbioru. Użytkownik otwiera załącznik, bo chce zobaczyć obraz lub dokument. Dopiero później pojawia się przekierowanie, formularz, przycisk, komunikat o konieczności logowania albo fałszywa strona usługi.

Taki wariant jest szczególnie skuteczny, gdy organizacja uczy głównie sprawdzania linków. Pracownik może pomyśleć: w treści nie było podejrzanego adresu, więc wiadomość jest mniej ryzykowna. To błędny skrót myślowy.

W praktyce załącznik może pełnić tę samą rolę co link. Przenosi użytkownika z poczty do środowiska kontrolowanego przez atakującego. Różnica polega na opakowaniu.

Polski kontekst: faktury, skany i dokumenty operacyjne

W polskich firmach scenariusz z SVG można łatwo dopasować do codziennych procesów. Księgowość dostaje fakturę albo korektę. Dział zakupów otrzymuje potwierdzenie zamówienia. Logistyka widzi skan dokumentu przewozowego. HR dostaje załącznik od kandydata. Biuro obsługi klienta otrzymuje grafikę reklamacyjną albo potwierdzenie płatności.

W małych firmach wiele dokumentów nadal krąży poza scentralizowanymi systemami. Pracownicy wymieniają skany, potwierdzenia i pliki przez e-mail. To tworzy przestrzeń dla przynęt, które nie wyglądają jak typowy atak, lecz jak kolejny dokument do obsługi.

Ryzyko rośnie, gdy firma ma rozproszony proces akceptacji. Jeżeli pracownik nie wie, gdzie zgłaszać podejrzany załącznik albo boi się zatrzymać proces biznesowy, otworzy plik, żeby nie opóźniać pracy.

Ten typ ataku dobrze pokazuje, dlaczego testy phishingowe dla firm nie powinny ograniczać się do maili z linkami. W realnym środowisku przynętą może być plik, kod QR, formularz, rozmowa telefoniczna albo komunikator.

Co może się stać po otwarciu SVG

Najprostszy wariant prowadzi do przekierowania na stronę phishingową. Użytkownik otwiera plik, widzi komunikat o dokumencie, sesji, podglądzie lub autoryzacji, a następnie trafia na formularz logowania. Tam podaje dane do poczty, Microsoft 365, Google Workspace, banku, systemu HR albo innej aplikacji.

Inny wariant może wykorzystywać JavaScript osadzony w pliku. Skrypt może zbudować treść w przeglądarce, ukryć właściwy cel, otworzyć kolejne zasoby albo utrudnić analizę. Nie trzeba zakładać, że każdy SVG z zewnątrz jest malware, ale trzeba rozumieć, że nie jest to zwykły obraz w sensie bezpieczeństwa.

Atak może też używać obfuskacji, czyli ukrywania właściwej treści przed prostą analizą. Dla użytkownika plik jest tylko załącznikiem. Dla filtra pocztowego może być dokumentem tekstowym o strukturze XML. Dla przeglądarki jest treścią do renderowania. Ta różnica interpretacji pomaga przestępcom.

Najważniejszy skutek biznesowy to utrata kontroli nad momentem przejścia użytkownika do fałszywej strony. Firma może mieć politykę sprawdzania linków, ale pracownik omija ją nieświadomie, otwierając plik.

Co powinien zrobić użytkownik

Nieoczekiwany załącznik SVG z zewnętrznej wiadomości powinien zatrzymać proces. Dotyczy to szczególnie wiadomości o fakturach, dokumentach HR, skanach, korektach, zamówieniach i płatnościach. Jeżeli firma nie używa SVG w danym procesie, taki plik jest sygnałem ostrzegawczym.

Użytkownik nie powinien otwierać pliku w celu sprawdzenia, czy jest bezpieczny. To nie jest dobra metoda weryfikacji. Bezpieczniejsza ścieżka to zgłoszenie wiadomości do IT lub Security, użycie przycisku raportowania phishingu, albo kontakt z nadawcą przez znany i niezależny kanał.

Jeżeli wiadomość rzekomo pochodzi od kontrahenta, nie należy odpowiadać w tym samym wątku z prośbą o potwierdzenie. Jeśli konto kontrahenta zostało przejęte, odpowiedź trafi do tej samej osoby, która wysłała przynętę. Lepszy jest numer telefonu lub adres z wcześniejszej, potwierdzonej współpracy.

W firmach warto jasno powiedzieć pracownikom, że obrazek w załączniku nie zawsze jest zwykłym obrazkiem. To prosta zasada, ale dobrze trafia do osób, które nie zajmują się technicznymi detalami formatów plików.

Co powinny zrobić IT, Security i SOC

Pierwszym krokiem jest decyzja, czy zewnętrzne załączniki SVG są w ogóle potrzebne w firmowej poczcie. W wielu organizacjach odpowiedź brzmi: rzadko albo nigdy. Wtedy blokada, kwarantanna lub dodatkowa analiza takich plików może być rozsądną kontrolą.

Nie chodzi jednak wyłącznie o blokadę rozszerzenia. Atakujący mogą zmieniać nazwy plików, używać archiwów, zmieniać typ MIME albo dostarczać podobne treści innymi kanałami. Dlatego kontrola powinna obejmować analizę zawartości, obecność skryptów, podejrzane odwołania zewnętrzne, przekierowania i zachowanie po otwarciu.

SOC powinien mieć procedurę dla zgłoszeń dotyczących załączników. Zgłoszenie użytkownika powinno zachować oryginalną wiadomość, nagłówki, załącznik i kontekst biznesowy. Sam zrzut ekranu zwykle nie wystarczy do analizy technicznej.

Warto też sprawdzać, czy podobny załącznik trafił do wielu osób. Kampanie z plikami SVG mogą być masowe, ale celować w konkretne role: księgowość, HR, zakupy, sprzedaż lub obsługę klienta. Analiza dystrybucji pomaga szybko ustalić, czy to pojedynczy przypadek, czy początek kampanii.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik otrzymał wiadomość, ale nie otworzył załącznika, powinien ją zgłosić i nie usuwać samodzielnie, jeśli procedura wymaga zachowania próbki. Zespół bezpieczeństwa może zablokować podobne wiadomości i ostrzec innych odbiorców.

Jeżeli użytkownik otworzył SVG, ale nie podał danych i niczego nie pobrał, nadal warto zgłosić zdarzenie. Trzeba przekazać wiadomość, załącznik, czas otwarcia i informację, co pojawiło się na ekranie. To pomoże ustalić, czy doszło do przekierowania albo kontaktu z zewnętrzną domeną.

Jeżeli użytkownik podał dane logowania, trzeba natychmiast zmienić hasło z zaufanego urządzenia, unieważnić aktywne sesje, sprawdzić metody wieloskładnikowego uwierzytelniania, przejrzeć reguły pocztowe i sprawdzić nietypowe logowania.

Jeżeli po otwarciu pliku pobrano dodatkowy plik lub uruchomiono cokolwiek na komputerze, urządzenie powinno zostać potraktowane jako potencjalnie skompromitowane. Należy odłączyć je od sieci zgodnie z procedurą, nie czyścić historii i nie usuwać plików przed analizą.

Jak ćwiczyć taki scenariusz w awareness

Scenariusz SVG dobrze nadaje się do edukacji, bo pokazuje ograniczenia prostych reguł. Użytkownik, który zna zasadę sprawdzania linków, może nadal otworzyć załącznik, jeśli wydaje się obrazem albo skanem dokumentu.

W symulacji można użyć neutralnego, bezpiecznego pliku udającego załącznik graficzny. Celem jest sprawdzenie, czy odbiorca rozpozna nieoczekiwany format, zgłosi wiadomość i nie będzie próbował samodzielnie otwierać pliku. Dla księgowości scenariuszem może być faktura. Dla HR plik od kandydata. Dla logistyki dokument przewozowy. Dla marketingu grafika do akceptacji.

Po ćwiczeniu trzeba wyjaśnić mechanizm bez straszenia technologią. Wystarczy proste zdanie: SVG wygląda jak obraz, ale dla przeglądarki może być aktywnym dokumentem. Dlatego niespodziewany SVG z zewnątrz wymaga zgłoszenia tak samo jak podejrzany link.

Najważniejsza zasada

Phishing przez SVG przypomina, że atakujący szukają formatu, którego użytkownik nie traktuje jak ryzyka. Raz jest to link, innym razem kod QR, komunikator, fałszywa aplikacja albo załącznik wyglądający jak obraz.

Jeżeli nieoczekiwany załącznik otwiera się w przeglądarce i prowadzi do logowania, pobierania lub kolejnego kliknięcia, nie jest dokumentem do obsłużenia. Jest częścią procesu, który trzeba przerwać i zgłosić.