HTML-вложение — это исполняемый код. Почему почтовые фильтры его пропускают и как SOC выявляет угрозу

Сотрудники компаний регулярно получают письма с вложениями вида scan_12.html. Большинство воспринимает такие файлы как безобидные веб-страницы — «какая-то страничка», не представляющая угрозы. Однако .html во вложении — это полноценная программа для браузера, способная выполнять произвольный JavaScript-код на стороне клиента. Именно эта особенность делает HTML-атаки эффективным вектором первоначального проникновения, который массово обходит почтовые фильтры.

Технически вредоносное HTML-вложение может собрать ZIP-архив прямо в памяти браузера и инициировать его скачивание — без единого сетевого запроса наружу. Это принципиально важно: стандартные почтовые фильтры, ориентированные на обнаружение подозрительных исходящих соединений или исполняемых файлов с расширениями .exe, .bat, .js, не видят аномалии. Файл имеет «легитимное» расширение, не вызывает подозрений у пользователя, не генерирует переданных вредоносных артефактов в сетевом трафике. Злоумышленники эксплуатируют именно этот зазор между человеческим восприятием и техническим анализом.

Security Operations Center сталкивается с необходимостью выявлять подобные атаки на уровне поведенческого анализа. SOC-команды обрабатывают инциденты, связанные с HTML-манипуляциями, и фиксируют рост использования данного вектора. Для защиты требуется не только обучение персонала распознаванию рисков, но и внедрение детекции на основе содержимого файлов, а не только их расширений. Понимание того, что HTML во вложении — это потенциальная угроза, а не безобидный документ, становится базовым требованием для корпоративной безопасности.