標題：網絡釣魚電子郵件中的HTML 附件

在網絡釣魚電子郵件中使用嵌入式HTML 文檔是網絡犯罪分子採用的標準技術。它消除了將鏈接放入電子郵件正文的需要，反垃圾郵件引擎和電子郵件防病毒通常可以輕鬆檢測到這些鏈接。 HTML 為偽裝網絡釣魚內容提供了比電子郵件更多的可能性。

網絡犯罪分子主要使用兩種類型的HTML 附件：帶有指向虛假網站鏈接的HTML 文件或成熟的網絡釣魚頁面。在第一種情況下，攻擊者不僅可以隱藏文件中的鏈接，還可以在用戶打開此文件時自動將用戶重定向到欺詐站點。第二種類型的HTML 附件可以完全跳過創建網站並節省託管成本：網絡釣魚表單和收集數據的腳本直接嵌入在附件中。此外，HTML 文件（如電子郵件）可以根據目標受害者和攻擊媒介進行修改，從而實現更加個性化的網絡釣魚內容。

帶有HTML 附件的示例電子郵件

網絡釣魚HTML 附件的結構HTML 附件中的網絡釣魚元素通常使用JavaScript 實現，它處理將用戶重定向到網絡釣魚站點或收集憑據並將其發送給詐騙者。

釣魚HTML 頁面及其源代碼

通常，HTML 頁面將數據發送到腳本中指定的惡意URL。一些附件完全（或大部分）由JS 腳本組成。

在電子郵件源代碼中，HTML 附件看起來像純文本，通常是Base64 編碼的。

電子郵件源代碼中的HTML 附件

如果文件包含明文的惡意腳本或鏈接，安全軟件可以快速解析並阻止它。為了避免這種情況，網絡犯罪分子會採取各種手段。

JavaScript 混淆JavaScript 混淆是用於偽裝HTML 附件的最常用技術之一。為了防止文件中的URL 被快速發現和阻止，網絡釣魚者會混淆網絡釣魚鏈接本身或整個腳本，有時甚至是整個HTML 文件。在某些情況下，網絡犯罪分子會手動混淆代碼，但他們通常使用現成的工具，其中許多工具是免費提供的，例如JavaScript Obfuscator。

例如，在文本編輯器中打開據稱來自匯豐銀行的釣魚郵件中的HTML 附件（見圖1），我們會看到一些相當混亂的JS 代碼，看起來既不提示打開鏈接，也不提示打開鏈接。任何其他有意義的動作。

HTML 附件中的混淆示例

然而，它實際上是一個將用戶重定向到釣魚網站的混淆腳本。為了偽裝釣魚鏈接，攻擊者使用了現成的工具，讓我們可以輕鬆地對腳本進行反混淆。

來自HSBC 銀行的電子郵件附件中的反混淆腳本：重定向用戶的鏈接

如果腳本、鏈接或HTML 頁面被手動混淆，則恢復原始代碼要困難得多。要檢測此類文件中的網絡釣魚內容，可能需要進行動態分析，其中涉及運行和調試代碼。

編碼有時攻擊者會使用更有趣的方法。例如，在一封網絡釣魚電子郵件中，我們發現了一個不尋常的HTML 附件。如上例所示，它包含JavaScript。由於代碼非常緊湊，人們可能會認為它與偽造的HSBC 電子郵件中的代碼相同——即將用戶重定向到網絡釣魚站點。但是在運行它時，我們發現了一個用這個小腳本編碼的完整的網絡釣魚頁面。

使用unescape() 方法的HTML 文件——文件的源代碼只包含五行，其中一行是空的

圖7. HTML 附件中的網絡釣魚頁面

網絡犯罪分子使用了一個有趣的技巧，其中涉及已棄用的JS 方法unescape()。此方法將“%xx”字符序列替換為傳遞給它的字符串中的ASCII 等效項。運行腳本並查看結果頁面的源代碼，我們會看到純HTML。

圖8. 生成的HTML 文件

JavaScript 現在使用decodeURI() 和decodeURIComponent() 方法代替unescape()，但大多數現代瀏覽器仍然支持unescape()。我們不能肯定為什麼攻擊者選擇了一種已棄用的方法，但這可能是因為現代方法更有可能被反垃圾郵件引擎解釋和檢測到。

統計數據2022 年前四個月，卡巴斯基安全解決方案檢測到近200 萬封包含惡意HTML 附件的電子郵件。其中近一半(851,328) 在3 月份被檢測到並被阻止。 1 月是最平靜的月份，我們的反垃圾郵件解決方案檢測到299,859 封帶有網絡釣魚HTML 附件的電子郵件。

結論網絡釣魚者使用各種技巧來繞過電子郵件攔截，並引誘盡可能多的用戶訪問他們的欺詐網站。一種常見的技術是帶有部分或完全混淆代碼的HTML 附件。 HTML 文件允許攻擊者使用腳本、混淆惡意內容以使其更難檢測，並將網絡釣魚頁面作為附件而不是鏈接發送。