danydanyqwer/Threat-Intel-Google-Calendar-Vishing-Campaign-2026

# Google 日历邀请滥用 —— 品牌冒充 Vishing 活动 - **分析师：** Dan-Andrei Grigorescu - **分析日期：** 2026 年 6 月 - **来源：** 个人收件箱（Yahoo Mail，垃圾邮件文件夹） - **分类：** Vishing（语音钓鱼）活动 —— 技术复杂性低，由社会工程学驱动 - **原始样本：** 有关完整的匿名化 `.eml` 标头，请参阅 [`/samples`](./samples)（个人邮箱地址已打码） ## 执行摘要 在 2026 年 6 月 3 日至 9 日期间，同一个收件箱收到了五封几乎完全相同的邮件，它们均滥用 **Google 日历的邀请系统** 来发送冒充知名技术支持品牌（Geek Squad、McAfee、Norton）的虚假账单/续订通知。与传统的钓鱼邮件不同，这些邮件均未包含恶意链接 —— 该攻击完全依赖于 **vishing**：诱使收件人拨打某个电话号码，而接线员很可能会尝试获取远程访问权限或套取支付信息。 基于共享的电话号码片段、相同的邮件结构以及一致的基础设施滥用模式，对这五个样本进行关联分析证实，这是一场**协同策划的活动**，而非孤立的垃圾邮件。 ## 攻击媒介：为什么利用日历邀请？ 攻击者没有发送标准的电子邮件，而是创建了一个 Google 日历活动并将受害者添加为与会者。随后，Google 的基础设施会代表攻击者自动生成并发送邀请。 **为什么这能绕过常见的防御机制：** | 标准钓鱼邮件 | 日历邀请滥用 | |---|---| | `From` 域名通常被伪造或为近期注册 | `Sender:` 标头直接就是 `google.com` | | DKIM 经常验证失败或缺失 | DKIM 针对的是 `google.com` **验证通过**（合法的 Google 基础设施） | | 反垃圾邮件引擎会标记已知的钓鱼基础设施 | 表现为常规的日历通知 | | 需要可点击的恶意链接 | 无需链接 —— 整个 payload 都在活动描述中 | 这是**滥用受信任平台的合法通知系统**，而不是构建专用钓鱼基础设施的典型案例 —— 随着传统的电子邮件钓鱼越来越容易被邮件过滤器可靠地拦截，这种模式正变得越来越普遍。 ## 样本对比 | # | 日期 | 冒充品牌 | 声称的金额 | 发件域名 | 电话号码 | |---|------|--------------------|-----------------|----------------|------------------| | 1 | 6 月 3 日 | Geek Squad | $360.22 | nickmin.com | (808) 748-1467 / (805) 303-0426 | | 2 | 6 月 3 日 | Norton 365 | $332.00 | kraglist.com | (828) 203-7942 / (828) 271-2063 | | 3 | 6 月 4 日 | McAfee ("Mac fee Security") | $548.56 | euramark.com | (805) 303-0425 | | 4 | 6 月 8 日 | Geek Squad | $592.24 | shxibz.com | (808) 721-3196 / (808) 909-1648 | *（还收到了第五个近乎重复的 Geek Squad 样本，但为简洁起见在此省略 —— 模式相同。）* ### 标头分析（样本 4 —— Geek Squad 诱饵） ``` Sender: Google Calendar From: Anandabaskaran Woodfin Reply-To: anandabaskaranwoodfin@shxibz.com DKIM: pass (google.com), pass (shxibz-com.20251104.gappssmtp.com) SPF: none (domain of shxibz.com does not designate permitted sender hosts) DMARC: unknown ``` 发件域名（`nickmin.com`、`kraglist.com`、`euramark.com`、`shxibz.com`）均使用 **Google Workspace gappssmtp.com 签名模式**，证实它们都是作为一次性的 Google Workspace 租户注册的 —— 这很可能是自动化的、低成本的设置，在短暂的“燃烧”窗口期后即被丢弃。 ## 攻陷指标 (IOC) | 指标 | 类型 | 上下文 / 备注 | | :--- | :--- | :--- | | `nickmin.com` | 域名 | 一次性 Google Workspace 租户 (gappssmtp) —— Geek Squad 诱饵 | | `kraglist.com` | 域名 | 一次性 Google Workspace 租户 (gappssmtp) —— Norton 365 诱饵 | | `euramark.com` | 域名 | 一次性 Google Workspace 租户 (gappssmtp) —— McAfee 诱饵 | | `shxibz.com` | 域名 | 一次性 Google Workspace 租户 (gappssmtp) —— Geek Squad 诱饵 | | `+1 (808) 748-1467` | 电话 (VoIP) | Vishing endpoint (Geek Squad 诱饵，样本 1) | | `+1 (805) 303-0426` | 电话 (VoIP) | Vishing endpoint (Geek Squad 诱饵，样本 1 —— 与 `.0425` 连号) | | `+1 (805) 303-0425` | 电话 (VoIP) | Vishing endpoint (McAfee 诱饵，样本 3) | | `+1 (828) 203-7942` | 电话 (VoIP) | Vishing endpoint (Norton 诱饵，样本 2) | | `+1 (828) 271-2063` | 电话 (VoIP) | Vishing endpoint (Norton 诱饵，样本 2) | | `+1 (808) 721-3196` | 电话 (VoIP) | Vishing endpoint (Geek Squad 诱饵，样本 4) | | `+1 (808) 909-1648` | 电话 (VoIP) | Vishing endpoint (Geek Squad 诱饵，样本 4) | | `a5e11c0e-ed84-43a5-9759-4a2ead308ea7` | 字符串 (UUID) | payload 正文中使用的诱饵“激活密钥”，用于制造虚假合法性 | | `10a86da0-1cf4-4459-90fc-0e5e1f668c09` | 字符串 (UUID) | payload 正文中使用的诱饵“交易密钥” | | `6555cd8e-384c-402a-92b7-3c2f2d20d7b1` | 字符串 (UUID) | payload 正文中使用的诱饵“访问 ID” | | `97394def-f48c-4beb-a999-4bb8eb284b64` | 字符串 (UUID) | payload 正文中使用的诱饵“验证签名” | ## 活动关联 —— 为什么这是单一攻击者所为，而非巧合 三个独立的信号表明，这是单一操作者在并行开展多项活动，而不是互不相关的垃圾邮件： 1. **电话号码复用及数字轮换** —— `(805) 303-0425` 和 `(805) 303-0426` 出现在不同的品牌冒充中，仅在最后一位数字上有所不同。这与按连续区块配置的 VoIP 临时号码特征一致。 2. **相同的 HTML/CSS 模板结构** —— 所有五封邮件都共享完全相同的 Google 日历 HTML 框架（字体声明、RSVP 按钮样式、页脚文本），表明是由单一模板系统生成了所有变体。 3. **一致的托辞公式** —— 每封邮件都遵循相同的结构：虚假交易 ID → 虚假金额（约 $300–600 的范围内，低到看似合理，高到足以促使人拨打电话） → 虚假“验证签名” → 支持电话号码。只有被冒充的品牌名称发生了变化。 4. **非母语英语的痕迹** —— 出现了诸如 *"Beloved,"* 和 *"Grateful always,,"*（双逗号）等作为称呼的短语，这与真正的美国本土支持团队的书写方式不符。 ## 攻击者可能的最终目的 (Vishing 流程) 由于不存在恶意链接，攻击链完全依赖于电话拨打： 1. 受害者看到一笔巨额的意外扣款并感到恐慌 2. 受害者拨打“支持”号码以进行 dispute（争议处理）/取消 3. 一名接线员（或预设好话术的 IVR）接听，伪装成所声称品牌的支持团队 4. 接线员诱使受害者安装远程访问软件（例如 AnyDesk、TeamViewer）以“处理退款” 5. 一旦获得远程访问权限，攻击者就可以窃取银行凭证、安装更多恶意软件，或者直接操纵受害者的在线银行会话，使其看起来像是“意外多付了钱”，从而要求将钱电汇退回 这是技术支持诈骗欺诈中一种有据可查的模式，经常针对技术敏感度较低的用户（通常是老年群体），尽管这场活动的“广撒网”特性表明其并没有特定的目标群体 —— 它是基于数量的。 ## 检测与防御建议 对于监控组织 Google Workspace 环境的 SOC 来说： - **标记来自发件人信誉低/注册时间短的外部域名的日历邀请**，特别是当 `Reply-To` 与明显的发送身份不一致时 - **将日历活动描述中的电话号码与已知的诈骗号码数据库进行关联比对**（社区上报的，例如通过滥用反馈源） - **用户意识培训**应明确涵盖日历邀请滥用的内容 —— 大多数钓鱼培训侧重于电子邮件链接/附件，而完全忽略了这一媒介 - 由于 Google 目前在消费者层面并未提供精细化的控制措施来阻止来自未知外部发件人的日历邀请，因此最有效的缓解措施是**对收件人进行教育**：合法的账单问题永远不会通过拨打主动发送的日历邀请中的号码来解决 ## 分析师备注 本分析展示了对多个低严重性的独立事件进行关联，从而识别出一场协同活动的能力 —— 这是 SOC/威胁狩猎的一项核心技能：单封此类邮件可能会被当作常规垃圾邮件 dismiss（不予理会），但对多个实例进行模式识别，却揭示了针对受信任基础设施（Google 日历）进行的大规模、有组织且持续的社会工程学滥用。

标签：ESC8, Object Callbacks, 威胁情报, 开发者工具, 情报分析, 电子取证, 社会工程学, 网络诊断, 网络钓鱼, 邮件安全, 防御加固