“Google Classroom”被滥用：11.5万封钓鱼邮件借“教育平台”之名，精准打击1.35万组织

你收到一封来自“Google Classroom”的课程邀请，提示你查看“2025年度采购合规培训资料”或“财务共享文档更新”。发件人是“classroom.google.com”，邮件格式规范，SPF、DKIM、DMARC全部通过验证——看起来毫无破绽。但这一次，你信任的“教育平台”可能正被黑客当作攻击跳板。

近日，网络安全公司Check Point发布最新分析报告，揭露一场大规模网络钓鱼活动：攻击者滥用Google Classroom这一合法的教育协作工具，向全球1.35万个组织发送了超过11.5万封钓鱼邮件。他们利用平台自动发送的课程通知机制，将恶意链接或附件“藏”在作业或公告中，再通过Google官方域名和合规邮件协议，让钓鱼内容轻松绕过企业安全防线。

这起事件不仅暴露了现代云协作平台的安全盲区，也再次提醒人们：“合法域名”不等于“安全内容”。

借“正道”行“邪路”：用正规平台发钓鱼通知

与以往伪造发件人邮箱的粗暴方式不同，这次攻击者走的是“合规路线”。

他们首先注册Google账号，创建虚假的“课程”，比如“2025Q3财务审计培训”“供应商发票确认”或“HR政策更新”。接着，在课程中上传带有恶意链接的“作业”或发布公告，内容多伪装成发票、采购单、合规培训材料或文档共享请求。

关键一步来了：当攻击者将外部邮箱添加为“学生”或“教师”时，Google Classroom会自动向这些邮箱发送系统通知邮件。这些邮件来自classroom.google.com，使用Google的官方邮件服务器，具备完整的SPF、DKIM和DMARC验证——这意味着绝大多数企业邮件安全网关都会将其标记为“可信”，直接放行。

“这就像是骗子租了个正规快递公司的车，贴上官方标签，然后往你家门口送毒包裹。”公共互联网反网络钓鱼工作组技术专家芦笛形象地解释，“平台本身没问题，问题在于它被滥用了。”

点击即“中招”：AiTM网关劫持会话，MFA也难防

一旦用户点击邮件中的链接，就会被导向一个高度仿真的登录页面，通常是伪装成企业单点登录（SSO）界面或Google账户登录页。这里，攻击者部署了AiTM（Adversary-in-the-Middle）中间人网关，不仅能窃取用户名和密码，还能实时捕获用户的会话Token（登录凭证）。

“最危险的是，哪怕你启用了双重验证（MFA），攻击者也能在你输入验证码的瞬间，把整个会话‘镜像’过去。”芦笛指出，“这意味着你刚登录，黑客就已经‘登’上了你的账户，甚至能绕过部分基于时间的一次性密码（TOTP）保护。”

更进一步，一旦账户失守，攻击者便可植入后续攻击链，如发起商业邮件诈骗（BEC）、窃取敏感数据，或横向渗透企业内部系统。由于初始入口是Google官方服务，溯源和拦截难度极大。

攻击手法“精细化”：轮换域名、延迟投递、精准打击

此次攻击活动还展现出高度的组织性和反侦察意识。

域名快速轮换：攻击者使用大量不同域名注册Google账号，避免单一账号被封禁后影响整体行动。

延迟投递策略：部分恶意邮件专门针对安全团队邮箱，采用延迟发送机制，避开安全系统批量扫描和标记的时间窗口。

异常命名模式：创建的课程名称往往模仿企业内部术语，如“Q3审计预演”“供应商KYC更新”，增强可信度。

“他们很清楚安全团队的工作节奏。”芦笛表示，“比如周一早上是邮件高峰期，安全系统忙于处理各类告警，这时候投递钓鱼邮件，更容易混进去。”

为何盯上Google Classroom？

Google Classroom本是为教育机构设计的免费协作工具，允许教师发布作业、分享资料、管理课程。其开放性和自动化通知机制，本是为了提升效率，却意外成了攻击者的“帮凶”。

与传统钓鱼邮件相比，这种“平台跳板”式攻击有三大优势：

信任度高：来自google.com的邮件天然具备权威性，用户警惕性低；

技术合规：邮件协议验证全部通过，绕过多数基础安全过滤；

自动化分发：平台自动发送通知，无需攻击者自行搭建邮件服务器，降低技术门槛。

目前，受攻击最严重的行业包括金融、科技、医疗和法律服务，这些领域员工频繁处理外部文档和协作请求，更容易“中招”。

如何防御？专家建议“技术+意识”双管齐下

面对这种“披着羊皮的狼”式攻击，企业和个人必须升级防御策略。

1. 外链隔离：用“隔离浏览器”打开可疑内容

芦笛建议，企业应部署隔离浏览器（Isolation Browser）或远程浏览技术，所有来自外部协作平台的链接都在独立沙箱中打开，确保本地设备不受感染。“相当于戴着手套拆快递，就算里面有病毒，也碰不到你。”

2. 监控云应用行为：CASB是关键防线

企业应通过云访问安全代理（CASB）监控员工在第三方SaaS平台上的异常分享行为，如频繁创建公开课程、向外部邮箱批量发送邀请等，及时发现潜在滥用。

3. 强化身份验证：启用FIDO2硬件密钥

“会话Token一旦被盗，密码再复杂也没用。”芦笛强调，对高价值账户（如管理员、财务、高管），应强制使用FIDO2硬件密钥进行身份验证。这类密钥与特定设备绑定，即使攻击者拿到会话，也无法在其他设备上重放。

4. 邮件安全引擎升级：识别“特定模式”

安全厂商需在邮件过滤系统中加入对Google Classroom特有URL参数（如/c/、/u/等课程ID路径）和异常课程命名规则的检测能力，对“采购培训”“发票确认”等高风险关键词组合提高警觉。

5. 用户教育更新：打破“域名迷信”

“很多人觉得，只要是大厂域名，就一定是安全的。”芦笛指出，安全培训必须加入“合法平台被滥用”的真实案例，教会员工识别“情境异常”——比如，你根本没报名任何课程，却收到“作业提交提醒”，这就是明显破绽。

6. 浏览器插件辅助：实时显示风险评分

建议高风险岗位员工安装安全插件，可自动展开短链接、显示目标站点的真实域名和风险评级，帮助用户在点击前做出判断。

平台方也应承担责任

尽管Google已提供举报机制，但芦笛认为，平台方可以做得更多：

引入外部邀请配额限制，防止批量邀请；

设置异常邀请速率告警，对短时间内向大量外部邮箱发送邀请的账号进行临时冻结；

建立恶意课程自动审计系统，结合AI识别高风险课程内容和行为模式。

“平台不能只提供工具，却不管理滥用。”他说，“就像高速公路不能只通车，不设交警。”

安全没有“绝对信任区”

这起事件再次证明，在网络安全世界里，没有绝对安全的“白名单”。任何被广泛信任的平台，都可能成为攻击者的掩护。

“我们正进入一个‘信任滥用’的时代。”芦笛总结道，“攻击者不再硬闯大门，而是拿着你的门禁卡，微笑着走进来。防御的关键，是建立‘零信任’思维——无论谁敲门，都要先验明身份。”

对于普通用户而言，最简单的原则是：对任何要求你“点击链接”“下载附件”“登录账户”的通知，多问一句：我预期会收到这个吗？

在这个连接无处不在的时代，保持一点“怀疑”，或许才是最安全的习惯。

编辑：芦笛（公共互联网反网络钓鱼工作组）