“Google官方服务”竟是钓鱼陷阱？合法云平台被滥用发起新型攻击

当你收到一封来自“Google Docs”的共享邀请，点击链接后跳转到一个熟悉的登录页面——你会毫不犹豫地输入账号密码吗？小心！这可能不是真正的Google服务，而是一场利用Google自家技术搭建的“李鬼”钓鱼陷阱。近期，安全研究人员发现，网络犯罪分子正大规模滥用Google Firebase和Google Apps Script等合法云开发平台，发起极具欺骗性的钓鱼攻击。

这场攻击的核心手法，是“借壳行骗”。攻击者利用Firebase（谷歌提供的应用开发平台）和Apps Script（谷歌的自动化脚本工具）创建虚假的登录页面，并将其托管在Google的官方域名之下，例如 script.google.com 或 web.app 子域名。由于这些域名本身属于谷歌，具有极高的信誉度，因此能轻易绕过企业邮件过滤器、浏览器安全警告甚至部分终端防护软件的检测。

“这就像是骗子拿着政府颁发的营业执照，在正规写字楼里开了一家‘假银行’。”公共互联网反网络钓鱼工作组技术专家芦笛形象地解释，“用户看到的是‘google.com’的域名，地址栏有绿色锁标志（HTTPS加密），页面设计也和真实的Gmail或Drive一模一样，自然觉得‘这肯定是真的’。”

一旦用户输入账号和密码，这些凭证就会被后台的恶意脚本悄悄截获，并实时发送给攻击者。更狡猾的是，部分钓鱼页面还会模拟多因素认证（MFA）流程，诱导用户输入短信验证码或通过验证App确认，从而实现对账户的完全控制。

“这种攻击最危险的地方在于‘信任滥用’。”芦笛指出，“我们一直教育用户‘看网址、认品牌’，但当黑客用的也是‘官网’域名时，传统的防范方法就失效了。它考验的不再是技术识别能力，而是用户对‘异常行为’的警觉性。”

据分析，此类攻击常以“文件共享”“文档协作”“会议邀请”等为诱饵，通过电子邮件或即时通讯工具传播。由于谷歌服务在全球企业中的广泛使用，尤其是依赖G Suite（现Google Workspace）的组织，成为主要受害群体。

值得注意的是，Firebase和Apps Script本身是完全合法且强大的开发工具，谷歌提供它们是为了方便开发者快速构建应用。攻击者正是利用了其“免审核部署”“免费托管”“高信誉域名”等特点，低成本、高效率地发起攻击。每次攻击可以快速生成多个子域名，旧的被封禁后，新的又能立刻上线，给防御带来极大挑战。

面对这种“披着羊皮的狼”，普通用户该如何自保？专家建议：

警惕“过于完美”的邀请：如果收到陌生人的文件共享请求，尤其是涉及财务、人事等敏感内容，务必通过其他渠道（如电话、已知联系方式）核实对方身份。

留意登录流程的细节：真正的Google登录页面通常不会在非官方应用中直接要求输入密码。如果跳转过程显得突兀或页面设计略有差异（如按钮位置、字体），就要提高警惕。

启用高级安全功能：建议开启Google账户的“两步验证”并使用物理安全密钥（Security Key），这类设备能有效抵御中间人钓鱼攻击。

对企业而言，芦笛建议：“不能只依赖传统的URL黑名单。”企业应部署具备行为分析能力的高级邮件安全网关，对来自可信域名但内容异常的邮件（如突然的文件共享邀请）进行二次审查。同时，可考虑在内部安全策略中，对 script.google.com 等高风险子域名的访问进行日志监控或弹窗提示。

“这场攻防战的本质，是‘信任机制’的博弈。”芦笛总结道，“平台方需要在便利与安全之间找到平衡，而用户和企业则必须意识到：即使是最值得信赖的品牌，也可能被黑客‘调包’。保持怀疑，永远是网络安全的第一道防线。”

目前，谷歌方面已加强对此类滥用行为的监测，但安全专家提醒，此类攻击仍将长期存在。公众如发现可疑链接，可通过Google的安全举报渠道进行反馈。

编辑：芦笛（公共互联网反网络钓鱼工作组）