wuyushe

电脑版下载

40400
6

wuyushe截图Q8X2R7L1T4J5M9B6W3

内容详情

wuyushe

随着网络清静防护系统的一直演进，攻击者也在一连寻找新的手艺路径规避检测机制。克日，一种新型垂纶邮件攻击手法在国际清静社区引发普遍关注：攻击者不再使用古板的图片嵌入方法天生二维码，而是通过纯HTML表格结构“绘制”出视觉上险些无法辨别的二维码图像，乐成绕过主流邮件清静网关对二维码内容的扫描与剖析。

据科技媒体Internet Storm Center（ISC）于2026年1月7日宣布的报告，该攻击手法最早可追溯至2025年12月下旬，多个清静研究职员在统一时间段内收到来自相似模板的垂纶邮件。这些邮件内容极为精练，通常仅包括一行诱导性文字（如“请扫码确认您的账户状态”），下方即为一个看似正常的是非二维码——但其实质并非图像文件，而是一段全心结构的HTML表格代码。

一、手艺原理：HTML表格怎样“画”出二维码？

古板二维码由是非模块按特定规则排列组成，用于编码URL、文本或其他数据。在电子邮件中，攻击者通常将二维码作为PNG或JPG图片嵌入，再指导用户扫码跳转至垂纶网站。然而，现代邮件清静系统（如Microsoft Defender for Office 365、Google Workspace清静模块等）已具备对附件及内嵌图片中的二维码举行光学字符识别（OCR）或图像剖析的能力，一旦发明可疑链接，会自动阻挡或标记为高危害。

为绕过此类检测，攻击者转而接纳“无图”战略：使用HTML的

元素，通过设置每个

以下为攻击样本中的焦点代码片断（经简化处置惩罚）：

该表格共包括约45×45个单位格（对应QR Code Version 2），每个单位格尺寸为4×4像素，整体泛起为180×180像素的方形图案。只管区分率较低且略显“扁平”，但在移动装备屏幕上仍足以被主流扫码工具（如微信、支付宝、相机App）乐成识别。

二、恶意载荷与跳转机制：动态域名+收件人信息绑定

更值得小心的是，这些HTML二维码所指向的URL并非静态地点，而是高度定制化的动态链接。凭证ISC剖析，所有样本均指向统一恶意域名lidoustooclick的子域，其完整URL结构如下：

hxxps://lidoustooclick//$

例如，若收件人邮箱为user@company.com，则天生的链接可能形如：

https://companycomA3F9.lidoustoo.click/xK7m2n/$user@company.com

这种设计具有三重目的：

1.规避URL黑名单Ｔ媚课发送均天生唯一子域名和路径，使得基于域名或路径的静态黑名单失效；

2.增强社会工程可信度：URL中包括收件人所属组织的域名（如companycom），制造“内部系统”假象；

3.追踪受害者行为：通过$参数，攻击者可准确纪录哪些邮箱地点已被点击，便于后续精准垂纶或出售数据。

三、为何现有防御系统难以应对？

只管企业普遍安排了高级邮件清静网关（SEG），但目今大都产品对HTML内容的深度剖析仍保存盲区：

缺乏语义明确能力：清静引擎通常将

性能与误报权衡：若对每封含重大HTML的邮件都执行“表格转图像+OCR”流程，将显著增添处置惩罚延迟与盘算开销；

标准兼容性限制：部分旧版邮件客户端（如Outlook 2016及更早版本）对CSS和现代HTML支持有限，导致攻击者可使用兼容模式隐藏恶意逻辑。

别的，终端用户的清静意识仍是薄弱环节。即便邮件未被标记为“危险”，通俗员工在看到“官方气概”邮件和“正常”二维码时，极易因操作惯性直接扫码，从而落入陷阱。

四、建议：多层防御+用户赋能

针对此类新型攻击，多位网络清静专家提出以下应对战略：

1.升级邮件网关检测逻辑

引入基于盘算机视觉的HTML渲染剖析模块，将可疑表格结构转换为位图后举行二维码识别；

对包括大宗

阻断指向新注册、低信誉域名的动态子域链接，尤其当URL中包括收件人邮箱信息时。

2.强化终端用户教育

开展专项培训，强调“绝不扫描泉源不明的二维码”，纵然其泛起在看似正规的邮件中；

推广“悬停预览”习惯：在点击前将鼠标悬停于链接（或二维码旁的文字说明）审查真实URL；

勉励使用企业级扫码工具，而非小我私家社交App，以便集成清静检查。

五、结语

此次“HTML表格二维码”事务再次印证了网络清静的实质——一场一连演进的“猫鼠游戏”。攻击者无需高深手艺，仅凭对现有防御机制的详尽视察与巧妙绕过，即可制造有用威胁。对企业而言，依赖简单手艺防地已远远不敷，必需构建“手艺+流程+职员”三位一体的纵深防御系统。在AI与自动化工具日益普及的今天，提升人的判断力，或许才是最结实的“最后一道防地”。

附：浅易检测剧本示例（Python + BeautifulSoup）

以下代码可用于起源筛查邮件HTML中是否保存疑似二维码表格：

注：此剧本仅作看法验证，现实安排需连系更多上下文特征与机械学习模子。

原问题：《垂纶邮件新变种：使用HTML表格伪造二维码绕过清静检测》

栏目主编：张武

文字编辑：傅璐

本文作者：中国互联网络信息中心 CNNIC