Utrecht, 23 april 2025 - Kaspersky heeft een nieuwe trend ontdekt waarbij aanvallers phishing-e-mails sturen naar individuele en zakelijke gebruikers met bijlagen in SVG-bestanden (Scalable Vector Graphics) - een formaat dat vaak wordt gebruikt voor het opslaan van afbeeldingen. Wanneer deze bestanden worden geopend, leiden ze de gebruiker naar phishing-pagina's die Google- en Microsoft-services nabootsen, met als doel inloggegevens te stelen. In maart 2025 was er een bijna zesvoudige toename van phishing via SVG-bestanden ten opzichte van februari. Sinds het begin van het jaar zijn wereldwijd, waaronder in Nederland, meer dan 4.000 van deze e-mails gedetecteerd.
SVG is een indeling voor het beschrijven van tweedimensionale vectorafbeeldingen met behulp van XML, een opmaaktaal die regels biedt om gegevens te definiëren. SVG ondersteunt JavaScript en HTML, in tegenstelling tot JPEG- of PNG-afbeeldingsindelingen. Dit maakt het voor ontwerpers gemakkelijker om te werken met niet-grafische inhoud zoals tekst, formules en interactieve elementen. Aanvallers maken hier echter misbruik van door scripts met links naar phishing-pagina's in het afbeeldingsbestand in te sluiten. Gebruikers kunnen deze bestanden uit nieuwsgierigheid openen en denken dat het afbeeldingen zijn.
Een phishing-e-mail met een SVG-bijlage
Het bijgevoegde SVG-bestand fungeert in feite als een HTML-pagina, maar zonder de gebruikelijke afbeeldingsbeschrijvingen. Wanneer dit bestand in een webbrowser wordt geopend, verschijnt het als een webpagina met een link die zogenaamd naar een audiobestand verwijst.
SVG-bestand weergegeven als HTML
Als u hierop klikt, wordt de gebruiker omgeleid naar een phishing-pagina die een Google Voice-audio-opname nabootst, waarbij de audiotrack eigenlijk een statische afbeelding is.
Een phishing-pagina die Google Voice nabootst
Door op "Audio afspelen" te klikken, wordt de gebruiker verder omgeleid naar een inlogpagina voor zakelijke e-mail, waardoor aanvallers hun inloggegevens kunnen bemachtigen. Ook op deze pagina wordt Google Voice genoemd. De pagina bevat ook het logo van het doelbedrijf, met de bedoeling om de alertheid van de gebruiker te verminderen.
Een vals inlogformulier
In een ander geval, waarin een melding van een e-handtekeningservice werd nagebootst, boden aanvallers een SVG-bijlage aan als een document dat moest worden bekeken en ondertekend.
Een verzoek om een phishing-e-handtekening
In tegenstelling tot het eerste voorbeeld, waar het SVG-bestand fungeerde als een HTML-pagina, bevat het in dit geval JavaScript dat, wanneer het bestand wordt geopend, een browservenster opent met een andere nep-inlog-phishing-site, die lijkt op een Microsoft site.
“Phishers verkennen voortdurend nieuwe technieken om detectie te omzeilen. Ze wisselen hun tactieken af, soms door gebruikers om te leiden om verwarring te zaaien, en andere keren door te experimenteren met verschillende bijlageformaten. Aanvallen met SVG-bijlagen vertonen een duidelijke stijgende trend. Hoewel deze aanvallen momenteel relatief eenvoudig zijn, met SVG-bestanden die ofwel een phishinglinkpagina of een omleidingsscript naar een frauduleuze site bevatten, kan het gebruik van SVG als container voor schadelijke inhoud ook worden ingezet bij meer geavanceerde gerichte aanvallen", zegt Roman Dedenok, Anti-Spam Expert bij Kaspersky.
Lees meer over deze aanvalstactiek op
Securelist.com.
###
Over Kaspersky
Kaspersky, opgericht in 1997, is wereldwijd actief op het gebied van cybersecurity en digital privacy En beschermt meer dan een miljard apparaten tegen opkomende cyberdreigingen en gerichte aanvallen. Kaspersky’s threat intelligence en security-expertise worden voortdurend omgezet in innovatieve security-oplossingen en -diensten om bedrijven, kritieke infrastructuren, overheden en consumenten van over de hele wereld te beschermen. Het uitgebreide securityportfolio van het bedrijf omvat toonaangevende endpoint security en gespecialiseerde security-oplossingen en -diensten, evenals Cyber Immune-oplossingen om geavanceerde digitale dreigingen te bestrijden. We helpen miljoenen individuen en meer dan 200.000 zakelijke gebruikers te beschermen wat voor hen het belangrijkst is. Kijk voor meer informatie op
www.kaspersky.nl.