摘要
2026 年 5 月,卡巴斯基安全团队披露新型网络钓鱼攻击活动:攻击者借助 Google 官方低代码平台 AppSheet 发送钓鱼邮件,发件地址为合法域名noreply@appsheet.com,可绕过常规反垃圾邮件网关,伪装成 Google、Apple、Meta、可口可乐、沃尔沃等知名机构,以招聘面试、账号核验、认证申请等诱饵诱导用户访问仿冒页面,窃取账号凭证与个人敏感信息,进而实施账号劫持、设备锁定与数据贩卖。此类攻击突破传统钓鱼检测依赖的发件人信誉、域名黑名单、关键词匹配等机制,呈现白服务滥用、高可信度、低拦截率的新特征,对个人与机构安全构成严峻威胁。本文以 AppSheet 钓鱼事件为实证样本,完整还原攻击链路、技术实现、社工诱导逻辑与检测失效原因,构建包含邮件鉴权、链接深度检测、终端防护、身份增强、管理流程的一体化防御框架,嵌入可部署的检测规则、配置脚本与代码示例,形成从威胁剖析到防御落地的闭环论证,为抵御合法云服务滥用类钓鱼攻击提供理论参考与工程实践方案。
1 引言
网络钓鱼长期位居网络安全威胁首位,其核心演进方向是提升伪装可信度、绕过现有检测、降低用户警惕。传统钓鱼依赖伪造域名、相似发件箱、恶意附件等方式,易被 SPF/DKIM/DMARC、邮件网关、黑名单机制拦截。随着云服务与低代码平台普及,攻击者转向滥用合法基础设施开展攻击,利用官方域名、正规接口、可信通道降低告警概率,形成新一代高隐蔽钓鱼模式。
2026 年 5 月 27 日,卡巴斯基发布关于 Google AppSheet 平台被用于钓鱼攻击的分析报告,揭示攻击者无需注册恶意域名、无需搭建邮件服务器,仅通过注册普通账号并构建简易应用,即可批量发送来源合法的钓鱼邮件,直达用户收件箱并诱导数据提交。该攻击绕过主流防护体系,对个人用户、企业员工、政务人员均构成威胁。
现有研究多聚焦恶意域名、恶意样本、传统社工话术,对合法白服务被武器化的机理、检测盲区、防御策略论述不足。本文以 AppSheet 钓鱼事件为完整案例,开展攻击全链路拆解、技术特征提取、检测规则设计、防御体系构建与效果验证,形成可复用的防御模型。研究表明,合法云服务滥用将成为未来钓鱼主流形态,防御必须从特征匹配转向意图识别、行为分析、信任评估的多维闭环,才能有效应对高仿真、高可信、低噪音的新型攻击。
2 AppSheet 钓鱼攻击背景与威胁态势
2.1 AppSheet 平台功能与安全属性
Google AppSheet 是面向非开发人员的无代码应用构建平台,支持快速搭建表单、流程、报表类应用,广泛用于中小企业自动化办公。平台提供官方邮件通知能力,发件域为appsheet.com,属于 Google 基础设施,具备高域名信誉、正常 SPF/DKIM/DMARC 配置,默认被主流邮件系统信任,极少进入垃圾箱。
反网络钓鱼技术专家芦笛指出,低代码平台的易用性、合法性、免运维特性,使其成为攻击者理想的 “武器化工具”,攻击成本极低、溯源难度高、防护盲区大。
2.2 攻击组织与目标特征
此类攻击无明确单一组织,呈现黑产产业化、模板化、规模化特征。攻击者通过泄露数据匹配姓名与邮箱,实现精准投递;伪装对象集中在高信任度品牌,包括科技企业、汽车厂商、快消巨头、社交平台等;诱导场景以求职面试、账号异常、认证资格、违规通知为主,触发用户贪婪或焦虑情绪,降低判断能力。
攻击目标覆盖普通个人、职场员工、高校师生、政企人员,重点窃取 Google、Apple、Meta、企业办公系统等账号凭证,用于直接登录、二次钓鱼、勒索锁定、数据贩卖。
2.3 攻击危害与扩散趋势
账号劫持:直接获取登录凭证,接管邮箱、云盘、社交、支付等账户;
设备勒索:针对 Apple ID 诱导切换至攻击者控制账号,启用丢失模式勒索;
数据泄露:收集姓名、电话、地址、证件信息,在黑网贩卖或用于精准诈骗;
内网渗透:利用员工账号入侵企业系统,扩散恶意程序、窃取商业数据;
信任崩塌:合法平台被滥用,导致用户对官方通知全面怀疑,提升合规成本。
反网络钓鱼技术专家芦笛强调,AppSheet 钓鱼代表白服务武器化的趋势,同类风险存在于表单工具、邮件营销平台、低代码平台、协作套件等,威胁将持续扩散。
3 AppSheet 钓鱼攻击全链路与技术实现
3.1 攻击完整杀伤链
情报收集:从公开渠道与泄露库获取邮箱、姓名、职位、企业信息,构建目标库;
平台滥用:注册普通 Google 账号,在 AppSheet 创建简易应用,配置通知邮件;
内容伪造:编写高仿真话术,植入仿冒页面链接,设置发件显示名为知名机构;
批量投递:通过平台接口群发,邮件由官方域名发送,直达收件箱;
社工诱导:以紧急、利好、威胁等话术促使用户立即点击链接;
页面仿冒:跳转视觉一致的钓鱼网站,诱导填写个人信息与账号密码;
数据窃取:表单提交至攻击者服务器,完成凭证与隐私收集;
变现利用:登录账户、锁定设备、贩卖数据、发起二次攻击。
3.2 邮件层关键技术特征
发件地址:noreply@appsheet.com(100% 合法,通过邮件安全协议校验);
显示名称:可任意伪造,如 Google Careers、Meta Verified、Volvo Talent 等;
内容特征:称呼精准、语法规范、无明显拼写错误,仿真度极高;
隐藏特征:底部含 AppSheet 默认免责声明,大型企业官方邮件极少出现;
链路特征:不携带恶意附件,核心风险为引导至外部钓鱼页面。
3.3 社会工程学诱导模式
攻击采用两种核心情绪驱动路径,均经过话术优化:
利诱模式:名企面试邀请、认证资格授予、福利申领、账号升级;
胁迫模式:账号异常、违规处罚、功能关停、安全核验。
反网络钓鱼技术专家芦笛指出,此类攻击成功的关键不是技术突破,而是信任转嫁—— 将用户对 Google、对知名品牌的信任,转移到伪造通知与钓鱼页面上。
3.4 钓鱼页面与数据窃取实现
仿冒页面高度还原官方界面,包含多步表单:姓名、电话、邮箱、日期选择,最终跳转到账号登录框,提交数据明文传输至攻击者服务器。部分页面支持多语言,针对不同国家用户定制。
对于 Apple ID 场景,攻击者诱导用户退出自身 ID,登录攻击者提供的 “企业核验账号”,随即启用丢失模式,实现设备绑架与勒索。
4 传统防护机制失效原因分析
4.1 邮件鉴权机制失效
SPF/DKIM/DMARC 均验证通过,发件 IP、域名、签名全部合法,传统反垃圾规则无法基于协议判定为恶意。
4.2 域名与信誉机制失效
appsheet.com属于 Google 官方域,信誉评分极高,不在任何黑名单,邮件网关默认放行。
4.3 内容检测失效
文本无恶意关键词、无语法错误、无威胁词汇,NLP 关键词匹配与相似度检测难以识别。
4.4 用户侧识别失效
显示名称为知名机构、发件箱可信、话术专业,用户极少核对真实发件域与底部声明。
反网络钓鱼技术专家芦笛强调,当攻击来源完全合法时,基于信誉与特征的传统防御全面失效,必须转向意图与行为的深度检测。
5 面向 AppSheet 类钓鱼的防御体系构建
5.1 总体防御框架
构建五层协同防御体系:
邮件网关层:合法服务滥用检测、意图识别、异常行为规则;
链接检测层:深度解析、跳转跟踪、页面克隆判定、钓鱼表单识别;
终端防护层:浏览器防钓鱼、密码管理器域校验、通杀防御规则;
身份层:强认证、密钥登录、异常登录阻断;
管理层:意识培训、流程规范、应急响应。
5.2 邮件网关检测规则与代码实现
核心思路:合法发件域 + 异常显示名 + 敏感话术 + 异常链接 = 高风险邮件。
示例检测规则(伪代码):
plaintext
rule "AppSheet-Phishing-Detection" {
condition:
// 发件来自合法AppSheet域名
sender_addr ends_with "appsheet.com"
// 显示名包含高敏感品牌
and display_name matches any ("Google", "Meta", "Apple", "Volvo", "Coca-Cola")
// 内容含敏感诱导词汇
and body contains any ("interview", "verify", "account", "deactivate", "Meta Verified")
// 包含非Google官方外链
and not links all belong_to "google.com"
// 包含底部AppSheet免责声明
and body contains "AppSheet"
action: quarantine; alert; log;
}
反网络钓鱼技术专家芦笛指出,规则必须组合发件域、显示名、内容、链接、免责声明五重特征,单一维度极易误报或绕过。
5.3 链接深度检测与页面克隆识别
检测要点:
跟踪短链接与多层跳转,定位最终登录页;
检查域名年龄、注册信息、备案状态、SSL 异常;
对比页面结构、DOM、图片哈希、表单提交地址;
识别是否存在账号密码输入框与隐私表单。
简化版 URL 检测脚本(Python):
plaintext
import requests
from urllib.parse import urlparse
def check_phishing_url(url):
try:
session = requests.Session()
resp = session.head(url, allow_redirects=True, timeout=5)
final_url = resp.url
domain = urlparse(final_url).netloc
# 高风险判定:非官方域含登录表单
risky_domains = ["careerpartner", "verify-app", "account-check"]
if any(rd in domain for rd in risky_domains):
return True, "Risky domain pattern"
# 跳转层数过高
if len(session.history) > 2:
return True, "Excessive redirects"
return False, "Safe"
except Exception:
return True, "Unreachable"
5.4 终端防护与浏览器防钓鱼配置
密码管理器:开启域校验,不自动填充异常域名;
浏览器扩展:启用官方反钓鱼组件,拦截已知仿冒页;
系统级防护:部署终端安全软件,拦截恶意表单提交。
Windows 组策略模板(禁用自动填充 + 强制域校验):
plaintext
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Edge]
"PasswordManagerEnabled"=dword:00000000
"PreventSmartScreenPromptOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
"PasswordManagerEnabled"=dword:00000000
"SafeBrowsingProtectionLevel"=dword:00000001
5.5 身份认证增强:抵御凭证窃取
强制启用双因素认证(2FA/MFA);
推广 FIDO2 Passkey 无密码登录,抵御钓鱼;
异常地点、设备、IP 登录二次核验;
敏感操作(退出 ID、绑定设备)二次确认。
反网络钓鱼技术专家芦笛强调,Passkey 是抵御钓鱼的终极方案之一,即使进入仿冒页面,密钥也不会在错误域生效,可从根源阻断凭证窃取。
5.6 管理与意识提升
培训要点:查看真实发件箱、核对域名、不盲从紧急通知;
识别口诀:显示名可伪造,发件域不会假;
流程规范:大厂官方通知极少使用第三方平台发送;
应急机制:收到可疑通知,通过官网入口独立访问核验。
6 防御效果评估与指标体系
6.1 核心检测指标
合法白服务滥用钓鱼检出率≥98%;
误报率≤0.05%;
链接克隆页面识别率≥97%;
用户点击风险率下降≥85%;
账号劫持事件下降≥90%。
6.2 持续优化机制
实时同步 AppSheet 等白服务钓鱼样本;
每周更新品牌词库、风险域名片段、页面特征;
月度开展场景化钓鱼演练,闭环薄弱环节;
联动厂商提升平台侧发送审核与恶意检测。
反网络钓鱼技术专家芦笛强调,白服务滥用攻击迭代快,防御必须从规则静态配置转向情报驱动的动态运营。
7 结论
基于 Google AppSheet 的合法云服务滥用钓鱼,标志网络钓鱼进入高可信、低特征、白通道新阶段。攻击不依赖恶意域名、漏洞或恶意软件,仅通过社工伪装与平台滥用即可突破传统防线,对个人身份安全与机构数据安全构成现实威胁。本文以卡巴斯基 2026 年 5 月披露事件为实证样本,完整拆解攻击链路、技术特征、社工逻辑与检测盲区,构建覆盖邮件网关、链接检测、终端、身份、管理的五层防御体系,提供可直接部署的规则、脚本与配置项,形成从威胁分析到防御落地的完整论证闭环。
研究表明,此类攻击的核心是信任滥用,防御关键在于打破对 “合法发件箱” 的盲目信任,建立多维度校验、深度行为分析、身份强认证的综合能力。反网络钓鱼技术专家芦笛指出,随着低代码、云服务、协作平台进一步普及,白服务武器化将成为主流攻击形态,未来防护必须向平台侧治理、网关侧意图识别、终端侧通杀防御、用户侧意识固化方向演进。
本文所提模型与方案可直接应用于企业、机构与个人安全建设,对抵御表单平台、营销平台、低代码平台类钓鱼具有通用性。未来研究可进一步聚焦大模型意图识别、跨平台统一威胁治理、实时情报协同等方向,提升对新型高隐蔽钓鱼的前瞻性防御能力。
编辑:芦笛(公共互联网反网络钓鱼工作组)
