報告摘要

近期資安研究人員揭露一項新型釣魚攻擊手法，攻擊者利用 Google AppSheet 平台建立看似合法的應用程式，向企業與個人發送偽造的商標侵權通知，誘導受害者點擊惡意連結並提交敏感資訊。此類攻擊結合社交工程與合法平台濫用，具高度欺騙性，對企業品牌與資料安全構成威脅。

攻擊概述

• 攻擊平台：Google AppSheet 是一個無需程式碼即可建立應用程式的工具，攻擊者利用其免費性與 Google 品牌信任度，製作釣魚頁面。
• 誘騙手法：受害者收到一封聲稱來自「商標保護機構」的電子郵件，內容指控其網站或品牌涉嫌侵權，並要求立即回應。
• 惡意連結：郵件中附有 AppSheet 建立的連結，點擊後進入偽造的申訴表單，要求填寫個人資料、公司資訊甚至登入憑證。

技術分析

• AppSheet 濫用：攻擊者利用 AppSheet 的表單功能建立釣魚頁面，並透過 Google 網域寄送，提升可信度。
• 偽造內容：表單中使用正式語氣、法律術語與商標圖示，模仿真實通知格式，降低受害者警覺。
• 資料蒐集：表單提交後，資料會被儲存至攻擊者控制的 Google Sheet 或第三方伺服器，作為後續攻擊依據。

風險與影響

風險類型	說明
身份竊取	攻擊者可取得受害者姓名、職稱、聯絡方式等個資。
憑證外洩	若受害者輸入帳號密碼，可能導致企業系統遭入侵。
品牌損害	假冒通知可能造成客戶誤解，影響企業信譽。
法律誤導	受害者可能誤以為遭法律追訴，進而做出不必要的回應或付款。

防禦建議

• 教育員工識別釣魚郵件：強調「商標通知」類郵件的常見特徵與偽造手法。
• 檢查連結來源：即使來自 Google 網域，也應確認是否為官方服務。
• 限制 AppSheet 使用權限：企業可透過 Google Workspace 管理控制 AppSheet 的使用。
• 導入郵件安全閘道：使用 SPF、DKIM、DMARC 等技術過濾偽造郵件。
• 通報可疑活動：若發現類似釣魚頁面，應向 Google 與資安單位通報。

結語：合法工具也可能成為攻擊武器

此類攻擊顯示，攻擊者正逐漸轉向濫用合法平台進行欺詐，並結合社交工程提升成功率。企業應強化員工資安意識，並建立多層防禦機制，以應對日益複雜的釣魚威脅。

資料來源：https://hackread.com/google-appsheet-phishing-scam-fake-trademark-notices/