釣魚郵件變種來襲—借助HTML表格偽造二維碼,繞過傳統(tǒng)安全防護(hù)

發(fā)布時(shí)間 2026-01-21

隨著網(wǎng)絡(luò)安全防護(hù)體系的不斷演進(jìn),攻擊者也在持續(xù)尋找新的技術(shù)路徑規(guī)避檢測(cè)機(jī)制。近日,一種新型釣魚郵件攻擊手法在國際安全社區(qū)引發(fā)廣泛關(guān)注:攻擊者不再使用傳統(tǒng)的圖片嵌入方式生成二維碼,而是通過純HTML表格結(jié)構(gòu)“繪制”出視覺上幾乎無法辨別的二維碼圖像,成功繞過主流郵件安全網(wǎng)關(guān)對(duì)二維碼內(nèi)容的掃描與分析。

一、技術(shù)原理:HTML表格如何“畫”出二維碼?

傳統(tǒng)二維碼由黑白模塊按特定規(guī)則排列組成,用于編碼URL、文本或其他數(shù)據(jù)。在電子郵件中,攻擊者通常將二維碼作為PNG或JPG圖片嵌入,再引導(dǎo)用戶掃碼跳轉(zhuǎn)至釣魚網(wǎng)站。然而,現(xiàn)代郵件安全系統(tǒng)(如Microsoft Defender for Office 365、Google Workspace安全模塊等)已具備對(duì)附件及內(nèi)嵌圖片中的二維碼進(jìn)行光學(xué)字符識(shí)別(OCR)或圖像解析的能力,一旦發(fā)現(xiàn)可疑鏈接,會(huì)自動(dòng)攔截或標(biāo)記為高風(fēng)險(xiǎn)。

為繞過此類檢測(cè),攻擊者轉(zhuǎn)而采用“無圖”策略:利用HTML的<table>元素,通過設(shè)置每個(gè)<td>單元格的背景色(bgcolor="#000000"表示黑色,bgcolor="#FFFFFF"表示白色),逐行構(gòu)建出與標(biāo)準(zhǔn)二維碼視覺一致的矩陣。由于整個(gè)結(jié)構(gòu)完全由HTML標(biāo)簽構(gòu)成,不包含任何外部資源引用或Base64編碼圖像,因此大多數(shù)基于內(nèi)容掃描的郵件安全引擎無法將其識(shí)別為“二維碼”,更無法提取其中隱藏的URL。

image.png

二、惡意載荷與跳轉(zhuǎn)機(jī)制:動(dòng)態(tài)域名+收件人信息綁定

更值得警惕的是,這些HTML二維碼所指向的URL并非靜態(tài)地址,而是高度定制化的動(dòng)態(tài)鏈接。根據(jù)ISC分析,所有樣本均指向同一惡意域名lidoustoo[.]click的子域,其完整URL結(jié)構(gòu)如下:

hxxps://<target_domain><random_hex_or_dec>[.]lidoustoo[.]click/<alphanumeric_path>/$<recipient_email>

例如,若收件人郵箱為user@company.com,則生成的鏈接可能形如:

https://companycomA3F9.lidoustoo.click/xK7m2n/$user@company.com

這種設(shè)計(jì)具有三重目的:

1.規(guī)避URL黑名單:每次發(fā)送均生成唯一子域名和路徑,使得基于域名或路徑的靜態(tài)黑名單失效;

2.增強(qiáng)社會(huì)工程可信度:URL中包含收件人所屬組織的域名(如companycom),制造“內(nèi)部系統(tǒng)”假象;

3.追蹤受害者行為:通過$<email>參數(shù),攻擊者可精確記錄哪些郵箱地址已被點(diǎn)擊,便于后續(xù)精準(zhǔn)釣魚或出售數(shù)據(jù)。

三、為何現(xiàn)有防御體系難以應(yīng)對(duì)?

盡管企業(yè)普遍部署了高級(jí)郵件安全網(wǎng)關(guān)(SEG),但當(dāng)前多數(shù)產(chǎn)品對(duì)HTML內(nèi)容的深度解析仍存在盲區(qū):

缺乏語義理解能力:安全引擎通常將<table>視為普通布局元素,不會(huì)主動(dòng)將其重構(gòu)為圖像并進(jìn)行二維碼解碼;

性能與誤報(bào)權(quán)衡:若對(duì)每封含復(fù)雜HTML的郵件都執(zhí)行“表格轉(zhuǎn)圖像+OCR”流程,將顯著增加處理延遲與計(jì)算開銷;

標(biāo)準(zhǔn)兼容性限制:部分舊版郵件客戶端(如Outlook 2016及更早版本)對(duì)CSS和現(xiàn)代HTML支持有限,導(dǎo)致攻擊者可利用兼容模式隱藏惡意邏輯。

此外,終端用戶的安全意識(shí)仍是薄弱環(huán)節(jié)。即便郵件未被標(biāo)記為“危險(xiǎn)”,普通員工在看到“官方風(fēng)格”郵件和“正常”二維碼時(shí),極易因操作慣性直接掃碼,從而落入陷阱。

四、建議:多層防御+用戶賦能

針對(duì)此類新型攻擊,多位網(wǎng)絡(luò)安全專家提出以下應(yīng)對(duì)策略:

1.升級(jí)郵件網(wǎng)關(guān)檢測(cè)邏輯

引入基于計(jì)算機(jī)視覺的HTML渲染分析模塊,將可疑表格結(jié)構(gòu)轉(zhuǎn)換為位圖后進(jìn)行二維碼識(shí)別;

對(duì)包含大量<td bgcolor=...>的郵件實(shí)施風(fēng)險(xiǎn)評(píng)分,結(jié)合上下文(如發(fā)件人信譽(yù)、正文關(guān)鍵詞)綜合判斷;

阻斷指向新注冊(cè)、低信譽(yù)域名的動(dòng)態(tài)子域鏈接,尤其當(dāng)URL中包含收件人郵箱信息時(shí)。

2.強(qiáng)化終端用戶教育

開展專項(xiàng)培訓(xùn),強(qiáng)調(diào)“絕不掃描來源不明的二維碼”,即使其出現(xiàn)在看似正規(guī)的郵件中;

推廣“懸停預(yù)覽”習(xí)慣:在點(diǎn)擊前將鼠標(biāo)懸停于鏈接(或二維碼旁的文字說明)查看真實(shí)URL;

鼓勵(lì)使用企業(yè)級(jí)掃碼工具,而非個(gè)人社交App,以便集成安全檢查。