ZH
您打开收件箱,看到一封紧急的 "商标违规通知"。您查看了发件人地址,发现它来自 noreply@appsheet.com - 一个真正的 Google 域名。一切看起来都是合法的。这正是关键所在。
这个 Google AppSheet网络钓鱼骗局欺骗您的电子邮件安全系统,将邮件标记为安全邮件,从而隐藏了一个高度复杂的攻击,绕过了大多数收件箱所依赖的标准防御系统。
简而言之
自 2025 年 3 月以来,网络犯罪分子利用谷歌自身的基础设施,直接从受信任的谷歌服务器发送恶意电子邮件。其规模令人震惊:2025 年 4 月的一天,全球发送的所有网络钓鱼电子邮件中有近 11% 是通过 AppSheet 发送的。一个与越南有关的代号为"AccountDumpling"的特定活动使用这种方法入侵了美国、意大利和加拿大的 3 万多个 Facebook Business 账户。
Google AppSheet 是该公司的免费无代码平台,允许任何人创建自定义应用程序并设置自动电子邮件通知。骗子滥用这一通知系统,直接从 noreply@appsheet.com 和 appsheet.bounces.google.com - 合法的 Google 地址发送电子邮件。
由于电子邮件来自谷歌自己的服务器,它们绕过了电子邮件安全系统所依赖的三大认证协议:SPF、DKIM 和 DMARC。所有三项检查都没有问题,因为从技术上讲,这些电子邮件来自谷歌。
安全研究员 Shaked Chen 将其描述为 "网络钓鱼中继"--攻击者利用可信平台的基础设施作为可见发件人来掩盖自己的真实身份。这是一种不断发展的技术,它将你对大品牌基础架构的信任转化为对你的攻击。有关网络钓鱼技术工作原理的更多信息,请阅读我们的《如何识别网络钓鱼电子邮件》指南。
典型的 AppSheet 网络钓鱼电子邮件会伪装成紧急法律威胁,使用以下主题行:
邮件正文冒充律师事务所或 Meta 执法团队,使用高压语言迫使您立即采取行动。一个醒目的按钮敦促您 "查看证据"、"下载证据 "或 "验证您的账户"。
虽然发件人地址显示的是真正的 Google 域名,但按钮链接会重定向到托管在第三方平台(如 Vercel、Netlify 或以 .su 结尾的域名)上的钓鱼页面。有些版本甚至会在邮件正文中加入一个虚假的验证勾--这是一种视觉线索,其目的就是要让你产生怀疑。
ScamAdviser 提示:点击任何链接前,请将鼠标悬停在该链接上。如果目标 URL 与据称与您联系的组织不符,请将其视为骗局。
这就是 AppSheet 骗局真正危险的地方:它之所以能得逞,是因为它使用了真正的 Google 基础设施。
标准的垃圾邮件过滤器会检查电子邮件是否是由被授权代表所声称的域的服务器发送的。由于 AppSheet 是谷歌的官方产品,因此它发送的每封电子邮件都能完美通过 SPF、DKIM 和 DMARC 认证。从纯粹的技术角度来看,该邮件是真正的 Google 电子邮件,尽管内容完全是欺诈性的。
传统的安全过滤器并不是为提出逻辑问题而设计的,例如:为什么谷歌应用程序构建工具会发出 Meta 商标强制执行通知?情境感知、人工智能驱动的安全工具可以检测出这种不匹配,但大多数组织和个人尚未部署这些工具。
这就是为什么商业电子邮件破坏(BEC)和平台中继式网络钓鱼变得如此有效--而且难以在收件箱层面阻止--的关键原因。
点击链接后,您会直接进入一个伪造的登录屏幕,该屏幕旨在窃取您的 Facebook、Google 或电子邮件帐户凭据。
AccountDumpling 活动背后的操作者使用了实时中间人代理--这种设置可以在您输入 2FA 代码的一瞬间捕获您的代码,从而使双因素身份验证在这种情况下毫无用处。有些攻击变种甚至更进一步,部署了 html2canvas(一种脚本,可在您与伪造页面交互时悄悄截图您的浏览器会话)。
攻击者一旦访问了你的账户,就会迅速采取行动:
在最后一步,一些攻击者会特别玩世不恭地向自己的受害者兜售 "账户恢复服务"--将他们造成的损失二次货币化。
如果您的账户已被入侵,请参阅我们的文章《我被骗了,现在怎么办?
查找电子邮件声称的发件人与实际要求您做的事情之间的逻辑错位。谷歌应用程序开发工具没有正当理由执行 Facebook 商标政策。
红旗 怎么办 来自 Google 产品地址的紧急法律威胁 停止。Google 产品不代表 Meta 执行商标或版权法。 按钮链接指向 URL 短缩器、.su 域名或无关的第三方网站 点击前,请将鼠标悬停在链接上查看完整的目标 URL。 主题行和电子邮件正文内容不匹配 仔细阅读--骗子通常会不经意地重复使用模板。 电子邮件中的链接要求您登录 Facebook 或 Google 打开一个新的浏览器标签,直接进入平台。 电子邮件中的假验证勾或信任徽章 这些都是图片,不是真正的安全指标。请忽略它们。即使发件人地址看起来完全真实,也不要点击任何链接。
您还可以使用ScamAdviser 的免费网站检查器来检查诈骗电子邮件背后的网站或平台是否合法。
Google AppSheet 网络钓鱼骗局代表了网络犯罪分子在操作方式上的广泛转变。他们不再需要伪造可信发件人地址,只需使用真实的基础设施即可。您对真实 Google 电子邮件的信任正是这些攻击者用来对付您的武器。
对突如其来的法律威胁邮件提出质疑,即使是来自可识别地址的邮件,也不是妄想症。当身份验证系统失去作用时,这是唯一可靠的防御手段。
如果它制造紧迫感、要求点击并威胁您的账户--在未证实之前,请将其视为骗局。
常见问题
什么是 Google AppSheet 网络钓鱼欺诈?
这是一种攻击,骗子利用 Google 的 AppSheet 平台,绕过标准的垃圾邮件过滤器,从真正的 Google 电子邮件地址发送虚假的法律威胁。
为什么 noreply@appsheet.com 会向我发送恐吓邮件?
网络犯罪分子正在滥用 AppSheet 的自动通知系统,发送通过所有标准电子邮件验证检查的网络钓鱼链接。
垃圾邮件过滤器能否阻止这些网络钓鱼电子邮件?
大多数传统过滤器都无法拦截它们,因为这些电子邮件真正来自经过验证的 Google 服务器。情境感知或人工智能驱动的安全工具能够更好地检测到这种不匹配。
如何保护我的 Facebook Business 账户免受此类攻击?
始终直接导航到 Facebook,检查是否有任何账户警报。切勿跟踪未经请求的法律威胁电子邮件中的链接,即使发件人地址似乎来自 Google。
如果我已经在假冒页面上输入了密码,该怎么办?
立即更改密码,检查账户的活动会话和连接的应用程序,并启用双因素身份验证。如果怀疑有未经授权的访问,请联系相关平台的支持团队。
Adam Collins 是 ScamAdviser 的网络安全研究员,为了隐私和安全起见,他使用化名。他在数字前线工作了四年多,擅长将复杂的威胁转化为可操作的建议。他的使命是:揭露红旗,让您放心浏览网络。
