一、一封“来自Google”的邮件,竟是通往钓鱼网站的入口
2025年12月下旬,一家位于新加坡的跨国物流公司IT管理员李伟收到了一封看似再正常不过的邮件:
发件人:no-reply@notifications.google.com
主题:您有一条新的语音留言(来自+852 XXXX XXXX)
正文:点击下方链接收听您的语音消息 → https://storage.googleapis.com/xxxxx/listen-voice.html
邮件使用了标准的Google通知模板,发件域名是Google官方的notifications.google.com,链接也指向storage.googleapis.com——一个属于Google Cloud Storage的合法子域名。一切看起来都“无可挑剔”。
李伟点了进去。页面先是弹出一个Google风格的CAPTCHA验证码:“我不是机器人”。他顺手勾选,下一秒却被重定向到一个几乎与Microsoft 365登录页一模一样的界面,要求输入公司邮箱和密码。
他输入了——系统提示“登录成功”,但几小时后,公司财务部门发现有人正试图通过Outlook Web Access导出客户合同。
这不是个例。根据网络安全公司Check Point Harmony Email Security于2025年12月24日发布的报告,过去两周内,全球已有超过3,200家组织收到此类钓鱼邮件,累计投递量达9,394封。而这一切,都源于攻击者对Google Cloud一项合法自动化服务的巧妙滥用。
二、漏洞不在代码,在“信任链”:Google Cloud的“Send Email”任务被武器化
此次攻击的核心,并非利用0day漏洞或账户盗用,而是钻了企业对“官方域名”盲目信任的空子。
攻击者注册了一个合法的Google Cloud项目,启用了名为“Application Integration”的低代码自动化平台(原名AppSheet Automation)。该平台允许用户通过图形化界面创建工作流,例如:“当某事件触发时,自动发送一封邮件”。
其中,“Send Email”任务支持以no-reply@notifications.google.com为发件人发送邮件——这是Google官方用于系统通知的标准地址,且完全通过SPF、DKIM和DMARC三大邮件认证协议验证。
这意味着:
邮件头显示“Authentication-Results: pass”;
收件方邮件网关不会标记为伪造;
用户看到的是“真正的Google邮件”。
“这就像有人用你家的门禁卡进了小区,再敲你家门说‘物业来修水管’——你根本不会怀疑,”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报采访时比喻道,“问题不在于门禁卡被复制,而在于我们默认‘持卡者=可信’。”
更狡猾的是,攻击者在邮件中嵌入的链接并非直接指向钓鱼页面,而是先跳转至googleusercontent.com或storage.googleapis.com下的一个HTML页面。这些域名均为Google官方所有,信誉极高,传统安全网关几乎不会拦截。
该页面通常包含一段JavaScript,执行如下逻辑:
<!-- 示例:伪装成语音留言页面的钓鱼跳板 -->
<!DOCTYPE html>
<html>
<head><title>Google Voice Message</title></head>
<body>
<div id="captcha-container">
<!-- 嵌入reCAPTCHA v2 -->
<script src="https://www.google.com/recaptcha/api.js"></script>
<div class="g-recaptcha" style="margin-top:12px">
Kibana在elasticsearch官网中的监控应用实战
Kibana如何成为Elasticsearch集群的“超级透视镜”?在现代数据平台中,Elasticsearch早已不只是一个搜索引擎。它支撑着日志分析、指标监控、APM追踪和安全审计等关键系统,一旦出现性能抖动或节点异常,轻则影响用户体验,…
Ableton Live电子音乐:IndexTTS 2.0创造机器人说唱效果
Ableton Live电子音乐:IndexTTS 2.0创造机器人说唱效果 在Ableton Live的轨道上,一段机械感十足的说唱歌词正精准踩着每一下鼓点响起——这不是某位未来主义歌手的采样,而是由AI实时生成、完全可控的“虚拟人声”。当语音合成技术不再只是朗读…
Google Cloud Text-to-Speech延迟高?本地部署IndexTTS 2.0更快
Google Cloud Text-to-Speech延迟高?本地部署IndexTTS 2.0更快 在短视频、动画配音和虚拟人内容爆发的今天,语音合成早已不是“能说话就行”的简单工具。越来越多创作者发现:使用Google Cloud Text-to-Speech这类云服务时,常常遭遇…
AquaCrop-OSPy作物模型完全教程:从零掌握精准农业预测
AquaCrop-OSPy作物模型完全教程:从零掌握精准农业预测 【免费下载链接】aquacrop 项目地址: https://gitcode.com/gh_mirrors/aq/aquacrop 还在为农业决策缺乏数据支持而烦恼吗?AquaCrop-OSPy这个Python开源作物生长模型,能够帮你轻松…
2026专科生必备8个降AI率工具测评榜单
2026专科生必备8个降AI率工具测评榜单 2026年专科生必备降AI率工具测评:为什么你需要这份榜单? 随着人工智能技术的快速发展,学术论文中AIGC内容的检测标准也日益严格。很多专科生在撰写毕业论文或课程作业时,常常因为AI率过高而被…
天猫精灵技能开发难?IndexTTS 2.0简化流程
天猫精灵技能开发难?IndexTTS 2.0 让“好声音”触手可及 在智能音箱、语音助手日益普及的今天,用户早已不再满足于机械生硬的播报式回应。他们期待的是有温度、有情绪、能匹配角色设定的“活的声音”。然而对大多数天猫精灵技能开发者而言,“…