随着网络清静防护系统的一直演进��,攻击者也在一连寻找新的手艺路径规避检测机制��。克日��,一种新型垂纶邮件攻击手法在国际清静社区引发普遍关注:攻击者不再使用古板的图片嵌入方法天生二维码��,而是通过纯HTML表格结构“绘制”出视觉上险些无法辨别的二维码图像��,乐成绕过主流邮件清静网关对二维码内容的扫描与剖析��。
据科技媒体Internet Storm Center(ISC)于2026年1月7日宣布的报告��,该攻击手法最早可追溯至2025年12月下旬��,多个清静研究职员在统一时间段内收到来自相似模板的垂纶邮件��。这些邮件内容极为精练��,通常仅包括一行诱导性文字(如“请扫码确认您的账户状态”)��,下方即为一个看似正常的是非二维码——但其实质并非图像文件��,而是一段全心结构的HTML表格代码��。
一、手艺原理:HTML表格怎样“画”出二维码�����?
古板二维码由是非�����?榘刺囟ü嬖蚺帕凶槌��,用于编码URL、文本或其他数据��。在电子邮件中��,攻击者通常将二维码作为PNG或JPG图片嵌入��,再指导用户扫码跳转至垂纶网站��。然而��,现代邮件清静系统(如Microsoft Defender for Office 365、Google Workspace清静�����?榈龋┮丫弑付愿郊澳谇锻计械亩刖傩泄庋ё址侗穑∣CR)或图像剖析的能力��,一旦发明可疑链接��,会自动阻挡或标记为高危害��。
为绕过此类检测��,攻击者转而接纳“无图”战略:使用HTML的
元素��,通过设置每个
以下为攻击样本中的焦点代码片断(经简化处置惩罚):
该表格共包括约45×45个单位格(对应QR Code Version 2)��,每个单位格尺寸为4×4像素��,整体泛起为180×180像素的方形图案��。只管区分率较低且略显“扁平”��,但在移动装备屏幕上仍足以被主流扫码工具(如微信、支付宝、相机App)乐成识别��。
二、恶意载荷与跳转机制:动态域名+收件人信息绑定
更值得小心的是��,这些HTML二维码所指向的URL并非静态地点��,而是高度定制化的动态链接��。凭证ISC剖析��,所有样本均指向统一恶意域名lidoustooclick的子域��,其完整URL结构如下:
hxxps://lidoustooclick//$
例如��,若收件人邮箱为user@company.com��,则天生的链接可能形如:
https://companycomA3F9.lidoustoo.click/xK7m2n/$user@company.com
这种设计具有三重目的:
1.规避URL黑名单T媚课发送均天生唯一子域名和路径��,使得基于域名或路径的静态黑名单失效��;
2.增强社会工程可信度:URL中包括收件人所属组织的域名(如companycom)��,制造“内部系统”假象��;
3.追踪受害者行为:通过$参数��,攻击者可准确纪录哪些邮箱地点已被点击��,便于后续精准垂纶或出售数据��。
三、为何现有防御系统难以应对�����?
只管企业普遍安排了高级邮件清静网关(SEG)��,但目今大都产品对HTML内容的深度剖析仍保存盲区:
缺乏语义明确能力:清静引擎通常将
性能与误报权衡:若对每封含重大HTML的邮件都执行“表格转图像+OCR”流程��,将显著增添处置惩罚延迟与盘算开销��;
标准兼容性限制:部分旧版邮件客户端(如Outlook 2016及更早版本)对CSS和现代HTML支持有限��,导致攻击者可使用兼容模式隐藏恶意逻辑��。
别的��,终端用户的清静意识仍是薄弱环节��。即便邮件未被标记为“危险”��,通俗员工在看到“官方气概”邮件和“正常”二维码时��,极易因操作惯性直接扫码��,从而落入陷阱��。
四、建议:多层防御+用户赋能
针对此类新型攻击��,多位网络清静专家提出以下应对战略:
1.升级邮件网关检测逻辑
引入基于盘算机视觉的HTML渲染剖析�����?��,将可疑表格结构转换为位图后举行二维码识别��;
对包括大宗
阻断指向新注册、低信誉域名的动态子域链接��,尤其当URL中包括收件人邮箱信息时��。
2.强化终端用户教育
开展专项培训��,强调“绝不扫描泉源不明的二维码”��,纵然其泛起在看似正规的邮件中��;
推广“悬停预览”习惯:在点击前将鼠标悬停于链接(或二维码旁的文字说明)审查真实URL��;
勉励使用企业级扫码工具��,而非小我私家社交App��,以便集成清静检查��。
五、结语
此次“HTML表格二维码”事务再次印证了网络清静的实质——一场一连演进的“猫鼠游戏”��。攻击者无需高深手艺��,仅凭对现有防御机制的详尽视察与巧妙绕过��,即可制造有用威胁��。对企业而言��,依赖简单手艺防地已远远不敷��,必需构建“手艺+流程+职员”三位一体的纵深防御系统��。在AI与自动化工具日益普及的今天��,提升人的判断力��,或许才是最结实的“最后一道防地”��。
附:浅易检测剧本示例(Python + BeautifulSoup)
以下代码可用于起源筛查邮件HTML中是否保存疑似二维码表格:
注:此剧本仅作看法验证��,现实安排需连系更多上下文特征与机械学习模子��。
原问题:《垂纶邮件新变种:使用HTML表格伪造二维码绕过清静检测》
栏目主编:张武
文字编辑:傅璐
本文作者:中国互联网络信息中心 CNNIC
首页
