文章总结: 文档披露攻击者利用HTML表格背景色绘制二维码的新型钓鱼手段,有效绕过邮件网关的图像检测。该变种使用含收件人信息的动态域名增强欺骗性。建议企业升级网关引入HTML渲染分析,识别可疑表格结构,并加强用户安全教育,杜绝扫描不明二维码,从而构建纵深防御体系。 综合评分: 88 文章分类: 社会工程学,办公安全,安全意识,威胁情报,网络安全
关注 | 钓鱼邮件新变种:利用HTML表格伪造二维码绕过安全检测
芦笛 张鑫 芦笛 张鑫
中国信息安全
2026年1月15日 18:10 北京
扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
文 | 中国互联网络信息中心 芦笛 张鑫
随着网络安全防护体系的不断演进,攻击者也在持续寻找新的技术路径规避检测机制。近日,一种新型钓鱼邮件攻击手法在国际安全社区引发广泛关注:攻击者不再使用传统的图片嵌入方式生成二维码,而是通过纯HTML表格结构“绘制”出视觉上几乎无法辨别的二维码图像,成功绕过主流邮件安全网关对二维码内容的扫描与分析。
据科技媒体Internet Storm Center(ISC)于2026年1月7日发布的报告,该攻击手法最早可追溯至2025年12月下旬,多个安全研究人员在同一时间段内收到来自相似模板的钓鱼邮件。这些邮件内容极为简洁,通常仅包含一行诱导性文字(如“请扫码确认您的账户状态”),下方即为一个看似正常的黑白二维码——但其本质并非图像文件,而是一段精心构造的HTML表格代码。
一、技术原理:HTML表格如何“画”出二维码?
传统二维码由黑白模块按特定规则排列组成,用于编码URL、文本或其他数据。在电子邮件中,攻击者通常将二维码作为PNG或JPG图片嵌入,再引导用户扫码跳转至钓鱼网站。然而,现代邮件安全系统(如Microsoft Defender for Office 365、Google Workspace安全模块等)已具备对附件及内嵌图片中的二维码进行光学字符识别(OCR)或图像解析的能力,一旦发现可疑链接,会自动拦截或标记为高风险。
为绕过此类检测,攻击者转而采用“无图”策略:利用HTML的
| 单元格的背景色(bgcolor=”#000000″表示黑色,bgcolor=”#FFFFFF”表示白色),逐行构建出与标准二维码视觉一致的矩阵。由于整个结构完全由HTML标签构成,不包含任何外部资源引用或Base64编码图像,因此大多数基于内容扫描的邮件安全引擎无法将其识别为“二维码”,更无法提取其中隐藏的URL。
以下为攻击样本中的核心代码片段(经简化处理): 该表格共包含约45×45个单元格(对应QR Code Version 2),每个单元格尺寸为4×4像素,整体呈现为180×180像素的方形图案。尽管分辨率较低且略显“扁平”,但在移动设备屏幕上仍足以被主流扫码工具(如微信、支付宝、相机App)成功识别。 二、恶意载荷与跳转机制:动态域名+收件人信息绑定 更值得警惕的是,这些HTML二维码所指向的URL并非静态地址,而是高度定制化的动态链接。根据ISC分析,所有样本均指向同一恶意域名lidoustoo[.]click的子域,其完整URL结构如下: hxxps:// 例如,若收件人邮箱为[email protected],则生成的链接可能形如: https://companycomA3F9.lidoustoo.click/xK7m2n/[email protected] 这种设计具有三重目的: 1.规避URL黑名单:每次发送均生成唯一子域名和路径,使得基于域名或路径的静态黑名单失效; 2.增强社会工程可信度:URL中包含收件人所属组织的域名(如companycom),制造“内部系统”假象; 3.追踪受害者行为:通过$ 三、为何现有防御体系难以应对? 尽管企业普遍部署了高级邮件安全网关(SEG),但当前多数产品对HTML内容的深度解析仍存在盲区: 缺乏语义理解能力:安全引擎通常将
|
评论