问题——“无图二维码”成为钓鱼邮件新变种。
随着企业对邮件附件、图片与链接的检测能力持续提升,攻击者正在调整策略以逃避查杀。
近期被关注的一类钓鱼邮件内容往往极为简短,仅以“请扫码确认账户状态”等话术诱导收件人操作,邮件下方呈现一个黑白二维码。
但该二维码并非传统PNG、JPG等图片,而是由大量HTML表格单元格按黑白模块排列“拼”出来,视觉效果与常见二维码几乎无异,足以在手机端被主流扫码工具识别并完成跳转。
原因——对抗升级下的“避检测”思路与链路精细化运营。
从技术层面看,传统邮件钓鱼通过嵌入二维码图片引流至仿冒站点,已经成为安全产品重点识别对象。
许多邮件安全系统可对内嵌图片进行解析或识别二维码内容,一旦发现可疑链接便拦截、隔离或提示风险。
攻击者由此转向“无图化”,用HTML元素替代图片载体,规避以图像为对象的识别流程。
在样本中,二维码通常由约45×45的表格单元格构成,每个单元格以极小尺寸填充黑或白色,整体仅约180×180像素,虽然分辨率不高,但在移动屏幕上仍可稳定被识别,这种“够用即可”的设计体现出明显的攻防权衡。
更值得警惕的是,二维码背后的跳转链路呈现“动态化、定制化”特征。
相关报告显示,链接常指向同一恶意域名体系下的不同子域与路径,且将收件人邮箱、单位域名等信息写入URL结构中。
其意图主要体现在三方面:一是通过频繁变换子域与路径降低黑名单策略有效性;二是借助“组织标识”营造内部系统或业务通知的假象,提升受害者信任度;三是利用参数绑定精准记录点击与访问行为,为后续定向攻击、账号接管或数据倒卖提供支撑。
这表明,邮件钓鱼正从“广撒网”向“精确投放”演进。
影响——安全网关与终端用户同时承压,企业账号风险上升。
当前不少邮件安全产品在处理复杂HTML时仍面临成本与效果的平衡难题:若对每封包含复杂表格结构的邮件都进行“渲染—转图—识别”的深度分析,将带来显著计算开销与处理延迟,也可能引发误报,影响正常业务邮件投递。
因此,一些系统对HTML内容的语义理解与结构解析存在盲区,给了攻击者可乘之机。
与此同时,二维码作为“低摩擦交互入口”,天然容易降低用户警惕:员工在手机端扫码后往往直接进入浏览器或仿冒登录页,若再叠加“账号异常”“权限续期”等话术,极易引导其输入凭据或完成二次验证,从而造成邮箱被控、企业系统被横向渗透、敏感数据泄露等后果。
对于依赖云办公与单点登录的组织而言,一次凭据泄露可能放大为多系统连锁风险。
对策——构建“网关+终端+人”的多层防护闭环。
业内普遍认为,应对“HTML绘码”类钓鱼,需要从检测能力、策略联动与人员管理三方面同步补强。
一是提升邮件侧的结构化检测能力。
对包含异常密集表格、极小单元格、重复样式块等可疑特征的邮件,建议在网关侧增加启发式规则与风险打分,必要时对可疑HTML进行安全渲染与抽样识别,并对外链进行更严格的沙箱访问与信誉评估。
同时,强化对“新注册域名、异常子域生成、路径随机化”等行为特征的识别,避免仅依赖静态黑名单。
二是加强终端与账号安全控制。
在终端侧推动浏览器与安全组件对可疑登录页、异常重定向进行提示或阻断;在身份侧落实强制多因素认证、异地登录与异常行为告警,降低凭据被盗后的可用性;对高风险操作启用条件访问与设备合规校验,减少“扫码即失守”的情况。
三是提升员工识别与处置能力。
应将“扫码类邮件”纳入常态化演练与培训重点,明确业务场景中哪些事项不允许通过扫码处理,建立统一的内部通知与账号变更流程;鼓励员工对“只给二维码、不给明确业务来源”的邮件保持警惕,并提供一键上报与快速处置通道,形成闭环响应。
前景——攻防将向“内容渲染化、链路动态化、对人精准化”持续演进。
可以预见,邮件钓鱼将进一步利用HTML/CSS组合、脚本混淆或多阶段跳转等方式对抗检测,并在社工话术上更贴近组织业务流程。
防守侧则需要把“可见内容”与“真实行为”结合起来:不仅看邮件呈现了什么,更要看其结构是否异常、链接链路是否可疑、访问行为是否符合常态。
通过网关、身份、终端与运营联动,才能在成本可控的前提下提高整体韧性。
网络安全的本质是一场持续的对抗。
当防御体系在某一环节构筑起堡垒时,攻击者便会寻找新的突破口。
这次HTML表格伪造二维码的案例提醒我们,看似微小的技术变化可能带来重大的安全隐患。
对于企业和个人而言,既要不断升级防御手段,更要保持警惕心态,认识到没有绝对安全的系统,只有不断适应和进化的防御能力。
在这个过程中,技术创新、管理完善和人员素质的有机结合,才是应对网络威胁的根本之道。