Что такое «malicious macros» в Google Docs и как от них защититься

Получили документ Google Docs от знакомого или партнёра, внутри — внезапная просьба «включить макрос»? Это не баг и не странная прихоть автора. Скорее всего, перед вами фишинговая или вредоносная попытка заставить макрос выполниться. Разберёмся, почему макросы в Google Docs — это головная боль, как именно их используют злоумышленники и что делать, чтобы не попасться.

Макросы в Google Docs — коротко о том, что это вообще такое

В Google Docs нет макросов в том же виде, как в Microsoft Word или Excel. Базовый текстовый редактор просто не умеет запускать макросы. А вот Google Таблицы поддерживают макросы через Google Apps Script — облачный язык скриптов на базе JavaScript. Именно эта функция и становится вектором атаки.

Злоумышленники не могут запустить код автоматически при открытии документа. Вместо этого они рассчитывают на обман: убеждают вас вручную скопировать содержимое, нажать неочевидную кнопку или перейти по ссылке. В этом главная ловушка — технически Google Docs относительно безопасен, но человеческий фактор никто не отменял.

Как выглядит атака через макросы в Google Docs

Типичный сценарий выглядит так:

  1. Вам приходит ссылка на Google Таблицу или Google Документ, где размещена таблица.
  2. Внутри — сообщение: «Файл защищён, нажмите „Включить макрос“ для просмотра содержимого».
  3. Вы нажимаете кнопку, подтверждаете разрешения — и скрипт получает доступ к вашему Google-аккаунту.
  4. Дальше — рассылка писем от вашего имени, кража данных из таблиц, доступ к диску или установка вредоносных дополнений.

Реальные атаки часто маскируются под счета на оплату, коммерческие предложения, рабочие документы или даже уведомления от «службы безопасности» компании. Внешне всё выглядит правдоподобно: логотипы, официальный тон, правильный язык.

Что реально может сделать вредоносный макрос

После того как вы дали разрешение, скрипт работает в контексте вашего аккаунта. Вот что он способен сделать:

  • Читать и копировать данные из всех ваших Google Таблиц, Документов и Диска, к которым у вас есть доступ.
  • Отправлять письма от вашего имени через Gmail — обычно это рассылка фишинга дальше по вашим контактам.
  • Создавать и распространять копии заражённых документов на ваш Google Диск.
  • Получать доступ к календарю и контактам, собирать адреса для последующих атак.
  • Устанавливать сторонние приложения и подключать их к аккаунту без вашего явного согласия.

Одна из самых неприятных особенностей — атака может быть отложенной. Скрипт ничего не делает сразу, а активируется через дни или недели, когда вы уже забыли про подозрительный документ.

Как распознать подозрительный макрос до того, как вы его запустите

Есть несколько признаков, которые сразу должны насторожить:

  • Просьба «включить макрос» или «разрешить скрипт» для просмотра обычного текста или таблицы — в штатном режиме это не нужно.
  • Документ якобы от руководства или службы безопасности, но адрес отправителя отличается от корпоративного.
  • Внутри документа — не данные, а инструкция: «Скопируйте содержимое в свою таблицу и запустите скрипт».
  • Скрипт запрашивает доступ ко всему аккаунту, хотя логика документа этого не требует.
  • Ссылка ведёт на таблицу, которая была создана несколько минут назад или имеет странное название вроде «temp_data_8374».

Если хотя бы один пункт совпадает — закройте документ и не нажимайте никаких кнопок.

Что делать, если вы уже запустили подозрительный макрос

Не паникуйте, но действуйте быстро. Вот пошаговый план:

  1. Отзовите разрешения. Перейдите в настройки Google-аккаунта → Безопасность → «Сторонние приложения с доступом к аккаунту». Найдите подозрительное приложение и удалите его.
  2. Проверьте недавние действия. В том же разделе «Безопасность» есть пункт «Недавние действия безопасности». Посмотрите, не было ли массовых отправок писем или изменений в документах.
  3. Просмотрите список подключённых приложений. Иногда злоумышленники устанавливают дополнения, которые живут в аккаунте отдельно от макроса.
  4. Сообщите в ИТ-отдел или службу безопасности, если это рабочий аккаунт. Они могут проверить, не пострадали ли другие сотрудники.
  5. Смените пароль, если подозреваете, что данные могли утечь, и включите двухфакторную аутентификацию, если она ещё не активна.

Сравнение: обычный рабочий макрос vs вредоносный

Не все макросы — зло. В рабочих таблицах скрипты автоматизируют рутину, собирают отчёты, форматируют данные. Вот как отличить легитимный макрос от опасного:

Признак Рабочий макрос Вредоносный макрос
Источник Создан вами, вашим ИТ-отделом или из проверенного шаблона Пришёл через случайную ссылку, письмо или документ от незнакомца
Что делает Форматирует таблицы, считает формулы, отправляет конкретные отчёты Запрашивает доступ ко всему аккаунту, просит скопировать себя в другие файлы
Запрос доступа Ограничен конкретными таблицами или документами Просит полный доступ к Gmail, Диску, Контактам без видимой причины
Инструкции внутри Есть понятное описание функций, назначение кнопок Содержит срочные просьбы, давление, требование «включить сейчас»
Кто автор Вы знаете автора, может объяснить логику скрипта Анонимный автор, аккаунт создан недавно

Частые ошибки, которые делают даже опытные пользователи

  • «Я просто посмотрю, ничего не нажимая». Сам просмотр безопасен, но злоумышленники прячут кнопки и ссылки так, что клик случается случайно. Лучше не открывать вообще, если источник не вызывает доверия.
  • «У меня ничего ценного в аккаунте». Злоумышленникам не нужны ваши личные секреты — нужен сам аккаунт как инструмент для рассылки дальше. Ваши контакты и доверие к вам стоят дороже, чем вы думаете.
  • «Я откючу двухфакторку, меня не взломают». Двухфакторная аутентификация защищает от взлома пароля, но не от разрешений, которые вы сами выдали скрипту.
  • «Это же Google, тут безопасно». Платформа защищена хорошо, но скрипт, которому вы доверились, работает внутри вашего аккаунта — и Google не может заблокировать то, на что вы сами дали согласие.
  • «Удалю документ — и всё». Удаление документа не отзывает разрешения, которые вы уже дали скрипту. Нубрать доступ отдельно через настройки безопасности.

Как настроить защиту в Google Workspace для организаций

Если вы администратор корпоративного Google Workspace, у вас есть дополнительные рычаги контроля:

  • Ограничьте установку сторонних приложений. В консоли администратора можно запретить пользователям давать разрешения непроверенным приложениям.
  • Настройте предупреждения о подозрительных входах. Служба безопасности получит уведомление, если аккаунт начнёт массово рассылать письма.
  • Включите обязательную двухфакторную аутентификацию для всех сотрудников домена.
  • Проводите обучение. Большинство атак успешны именно потому, что люди не знают, что кнопка «Включить макрос» в чужой таблице — это красный флаг.

Что выбрать в зависимости от вашей ситуации

Вы получили документ от незнакомого отправителя с просьбой включить макрос. Не открывайте. Не нажимайте кнопки. Если документ якобы от партнёра или клиента — свяжитесь с ним по другому каналу и уточняйте отдельно.

Вы получили таблицу от коллеги, но внутри просьба запустить скрипт. Позвоните коллеге и спросите, действительно ли он это отправлял. Его аккаунт могли скомпрометировать.

Вы — администратор и видите, что сотрудники массово получают такие документы. Запустите рассылку с предупреждением, заблокируйте подозрительные домены в Gmail и проверьте список разрешённых приложений в домене.

Вы уже нажали «Разрешить». Следуйте пошаговому плану из раздела выше: отзовите доступ, проверьте действия, смените пароль, включите двухфакторную аутентификацию.

Итог: что запомнить и что делать

Макросы в Google Docs — это не магия и не баг платформы. Это легитимный инструмент, который злоумышленники используют как приманку. Технически Google Таблицы не запускают код без вашего явного согласия — но именно на это согласие и расчёт.

Главное правило: никогда не включайте макросы в документах, которые вы не создали сами и которые не получили из абсолютно надёжного источника. Если просят «включить для просмотра» — это почти всегда обман.

Если сомневаетесь — не нажимайте. Лучше потратить минуту на звонок отправителю, чем потом восстанавливать аккаунт и объяснять контактам, почему от вашего имени приходил фишинг.

Оцените статью
PEFile — Безопасность и технологии простым языком