Cảnh báo: Nếu nhận được loại ảnh này trong email, xóa ngay lập tức nếu nguồn gửi không tin cậy

Một nhân viên tại công ty logistics gần đây nhận được email có vẻ như được gửi từ nội bộ, yêu cầu mở một tệp đính kèm. Tình huống tưởng chừng bình thường này lại là một trong những chiêu thức lừa đảo tinh vi đang được tội phạm mạng khai thác ngày càng phổ biến – sử dụng tệp SVG (Scalable Vector Graphics) để tấn công.

Mồi nhử mới 

Tệp đính kèm lần này là một tệp ảnh định dạng SVG – loại tệp hiếm thấy trong các email giao tiếp hợp pháp. Lợi dụng đặc tính của SVG, những kẻ tấn công có thể nhúng mã JavaScript và HTML trực tiếp vào tệp, cho phép chúng thực thi mã độc khi người dùng mở tệp.

Khi mã JavaScript trong SVG được kích hoạt – thông qua hành động mở tệp hoặc bằng các thao tác biến đổi DOM (Document Object Model) – nó sẽ giải mã một chuỗi được mã hóa sẵn, từ đó dẫn người dùng đến một URL đã được mã hóa base64. Đáng chú ý, đoạn mã còn tự động chèn địa chỉ email của nạn nhân vào cuối liên kết, khiến mục tiêu dễ bị đánh lừa hơn.

Khi liên kết không bị chặn, nạn nhân sẽ được chuyển hướng qua một CAPTCHA giả mạo do Cloudflare dựng lên, trước khi đến một trang đăng nhập Microsoft giả, nơi địa chỉ email đã được điền sẵn. Trong tâm thế tin tưởng, người dùng nhập mật khẩu – và vô tình trao toàn bộ thông tin đăng nhập Microsoft 365 vào tay hacker.

SVG – “Tài liệu có thể lập trình” đầy nguy hiểm

Không giống như các định dạng hình ảnh thông thường như JPG hay PNG, tệp SVG sử dụng mã XML để mô tả hình ảnh, đồng thời cho phép tích hợp mã lệnh, khiến nó trở thành công cụ tấn công lý tưởng. Cloudflare từng cảnh báo rằng SVG thực chất là “tài liệu có thể lập trình”, không đơn thuần chỉ là một hình ảnh.

Với quyền truy cập vào tài khoản Microsoft 365, hacker có thể thâm nhập sâu vào hệ thống doanh nghiệp – từ email, tài liệu, cho đến thông tin nội bộ – mở đường cho các cuộc tấn công leo thang, đánh cắp dữ liệu hoặc thậm chí mã hóa hệ thống để đòi tiền chuộc.

Tăng vọt các cuộc tấn công bằng SVG

Theo báo cáo của Trustwave, số vụ tấn công sử dụng tệp SVG đã tăng tới 1.800% chỉ trong vài tháng đầu năm 2025. Kaspersky ghi nhận mức tăng gấp gần 6 lần trong tháng 3/2025, với hơn 4.000 email độc hại được phát hiện trên toàn cầu. Nền tảng đào tạo bảo mật KnowBe4 cũng báo cáo mức tăng 245% trong việc sử dụng SVG để che giấu mã độc phishing.

Các chuyên gia chỉ ra rằng phần lớn bộ lọc email hiện nay vẫn tập trung phát hiện các tệp thực thi (.exe), tài liệu Office hay PDF, trong khi SVG – dưới vỏ bọc là tệp hình ảnh – thường bị xem nhẹ. Điều này tạo điều kiện cho mã độc ẩn mình dễ dàng vượt qua các lớp bảo vệ.

Ngoài ra, nhiều hệ thống email hiện vẫn cho phép hiển thị tự động hình ảnh đính kèm, làm tăng nguy cơ người dùng bị tấn công mà không hề hay biết.

Nguy cơ và cách phòng tránh

Tấn công qua SVG có thể dẫn đến hàng loạt hậu quả nghiêm trọng như: đánh cắp tài khoản, truy cập trái phép hệ thống, chiếm đoạt dữ liệu hoặc lây lan mã độc gián điệp.

Để đối phó với xu hướng tấn công này, các chuyên gia khuyến nghị:

- Triển khai hệ thống bảo mật email có khả năng phát hiện và cách ly tệp đính kèm bất thường.

- Không mở tệp SVG hoặc HTML từ nguồn không rõ ràng hoặc không tin cậy.

- Cẩn trọng với tệp đính kèm bất ngờ, kể cả khi chúng vượt qua được bộ lọc thư rác.

- Sử dụng phần mềm bảo mật điểm cuối có tính năng bảo vệ khỏi mã độc và các trang web giả mạo.

Trong bối cảnh tội phạm mạng liên tục đổi mới chiến thuật, việc nâng cao nhận thức và củng cố hệ thống bảo vệ là yếu tố then chốt giúp doanh nghiệp và cá nhân tránh trở thành nạn nhân của các cuộc tấn công ngày càng tinh vi.