Получили документ Google Docs от знакомого или партнёра, внутри — внезапная просьба «включить макрос»? Это не баг и не странная прихоть автора. Скорее всего, перед вами фишинговая или вредоносная попытка заставить макрос выполниться. Разберёмся, почему макросы в Google Docs — это головная боль, как именно их используют злоумышленники и что делать, чтобы не попасться.
- Макросы в Google Docs — коротко о том, что это вообще такое
- Как выглядит атака через макросы в Google Docs
- Что реально может сделать вредоносный макрос
- Как распознать подозрительный макрос до того, как вы его запустите
- Что делать, если вы уже запустили подозрительный макрос
- Сравнение: обычный рабочий макрос vs вредоносный
- Частые ошибки, которые делают даже опытные пользователи
- Как настроить защиту в Google Workspace для организаций
- Что выбрать в зависимости от вашей ситуации
- Итог: что запомнить и что делать
Макросы в Google Docs — коротко о том, что это вообще такое
В Google Docs нет макросов в том же виде, как в Microsoft Word или Excel. Базовый текстовый редактор просто не умеет запускать макросы. А вот Google Таблицы поддерживают макросы через Google Apps Script — облачный язык скриптов на базе JavaScript. Именно эта функция и становится вектором атаки.
Злоумышленники не могут запустить код автоматически при открытии документа. Вместо этого они рассчитывают на обман: убеждают вас вручную скопировать содержимое, нажать неочевидную кнопку или перейти по ссылке. В этом главная ловушка — технически Google Docs относительно безопасен, но человеческий фактор никто не отменял.
Как выглядит атака через макросы в Google Docs
Типичный сценарий выглядит так:
- Вам приходит ссылка на Google Таблицу или Google Документ, где размещена таблица.
- Внутри — сообщение: «Файл защищён, нажмите „Включить макрос“ для просмотра содержимого».
- Вы нажимаете кнопку, подтверждаете разрешения — и скрипт получает доступ к вашему Google-аккаунту.
- Дальше — рассылка писем от вашего имени, кража данных из таблиц, доступ к диску или установка вредоносных дополнений.
Реальные атаки часто маскируются под счета на оплату, коммерческие предложения, рабочие документы или даже уведомления от «службы безопасности» компании. Внешне всё выглядит правдоподобно: логотипы, официальный тон, правильный язык.
Что реально может сделать вредоносный макрос
После того как вы дали разрешение, скрипт работает в контексте вашего аккаунта. Вот что он способен сделать:
- Читать и копировать данные из всех ваших Google Таблиц, Документов и Диска, к которым у вас есть доступ.
- Отправлять письма от вашего имени через Gmail — обычно это рассылка фишинга дальше по вашим контактам.
- Создавать и распространять копии заражённых документов на ваш Google Диск.
- Получать доступ к календарю и контактам, собирать адреса для последующих атак.
- Устанавливать сторонние приложения и подключать их к аккаунту без вашего явного согласия.
Одна из самых неприятных особенностей — атака может быть отложенной. Скрипт ничего не делает сразу, а активируется через дни или недели, когда вы уже забыли про подозрительный документ.
Как распознать подозрительный макрос до того, как вы его запустите
Есть несколько признаков, которые сразу должны насторожить:
- Просьба «включить макрос» или «разрешить скрипт» для просмотра обычного текста или таблицы — в штатном режиме это не нужно.
- Документ якобы от руководства или службы безопасности, но адрес отправителя отличается от корпоративного.
- Внутри документа — не данные, а инструкция: «Скопируйте содержимое в свою таблицу и запустите скрипт».
- Скрипт запрашивает доступ ко всему аккаунту, хотя логика документа этого не требует.
- Ссылка ведёт на таблицу, которая была создана несколько минут назад или имеет странное название вроде «temp_data_8374».
Если хотя бы один пункт совпадает — закройте документ и не нажимайте никаких кнопок.
Что делать, если вы уже запустили подозрительный макрос
Не паникуйте, но действуйте быстро. Вот пошаговый план:
- Отзовите разрешения. Перейдите в настройки Google-аккаунта → Безопасность → «Сторонние приложения с доступом к аккаунту». Найдите подозрительное приложение и удалите его.
- Проверьте недавние действия. В том же разделе «Безопасность» есть пункт «Недавние действия безопасности». Посмотрите, не было ли массовых отправок писем или изменений в документах.
- Просмотрите список подключённых приложений. Иногда злоумышленники устанавливают дополнения, которые живут в аккаунте отдельно от макроса.
- Сообщите в ИТ-отдел или службу безопасности, если это рабочий аккаунт. Они могут проверить, не пострадали ли другие сотрудники.
- Смените пароль, если подозреваете, что данные могли утечь, и включите двухфакторную аутентификацию, если она ещё не активна.
Сравнение: обычный рабочий макрос vs вредоносный
Не все макросы — зло. В рабочих таблицах скрипты автоматизируют рутину, собирают отчёты, форматируют данные. Вот как отличить легитимный макрос от опасного:
| Признак | Рабочий макрос | Вредоносный макрос |
|---|---|---|
| Источник | Создан вами, вашим ИТ-отделом или из проверенного шаблона | Пришёл через случайную ссылку, письмо или документ от незнакомца |
| Что делает | Форматирует таблицы, считает формулы, отправляет конкретные отчёты | Запрашивает доступ ко всему аккаунту, просит скопировать себя в другие файлы |
| Запрос доступа | Ограничен конкретными таблицами или документами | Просит полный доступ к Gmail, Диску, Контактам без видимой причины |
| Инструкции внутри | Есть понятное описание функций, назначение кнопок | Содержит срочные просьбы, давление, требование «включить сейчас» |
| Кто автор | Вы знаете автора, может объяснить логику скрипта | Анонимный автор, аккаунт создан недавно |
Частые ошибки, которые делают даже опытные пользователи
- «Я просто посмотрю, ничего не нажимая». Сам просмотр безопасен, но злоумышленники прячут кнопки и ссылки так, что клик случается случайно. Лучше не открывать вообще, если источник не вызывает доверия.
- «У меня ничего ценного в аккаунте». Злоумышленникам не нужны ваши личные секреты — нужен сам аккаунт как инструмент для рассылки дальше. Ваши контакты и доверие к вам стоят дороже, чем вы думаете.
- «Я откючу двухфакторку, меня не взломают». Двухфакторная аутентификация защищает от взлома пароля, но не от разрешений, которые вы сами выдали скрипту.
- «Это же Google, тут безопасно». Платформа защищена хорошо, но скрипт, которому вы доверились, работает внутри вашего аккаунта — и Google не может заблокировать то, на что вы сами дали согласие.
- «Удалю документ — и всё». Удаление документа не отзывает разрешения, которые вы уже дали скрипту. Нубрать доступ отдельно через настройки безопасности.
Как настроить защиту в Google Workspace для организаций
Если вы администратор корпоративного Google Workspace, у вас есть дополнительные рычаги контроля:
- Ограничьте установку сторонних приложений. В консоли администратора можно запретить пользователям давать разрешения непроверенным приложениям.
- Настройте предупреждения о подозрительных входах. Служба безопасности получит уведомление, если аккаунт начнёт массово рассылать письма.
- Включите обязательную двухфакторную аутентификацию для всех сотрудников домена.
- Проводите обучение. Большинство атак успешны именно потому, что люди не знают, что кнопка «Включить макрос» в чужой таблице — это красный флаг.
Что выбрать в зависимости от вашей ситуации
Вы получили документ от незнакомого отправителя с просьбой включить макрос. Не открывайте. Не нажимайте кнопки. Если документ якобы от партнёра или клиента — свяжитесь с ним по другому каналу и уточняйте отдельно.
Вы получили таблицу от коллеги, но внутри просьба запустить скрипт. Позвоните коллеге и спросите, действительно ли он это отправлял. Его аккаунт могли скомпрометировать.
Вы — администратор и видите, что сотрудники массово получают такие документы. Запустите рассылку с предупреждением, заблокируйте подозрительные домены в Gmail и проверьте список разрешённых приложений в домене.
Вы уже нажали «Разрешить». Следуйте пошаговому плану из раздела выше: отзовите доступ, проверьте действия, смените пароль, включите двухфакторную аутентификацию.
Итог: что запомнить и что делать
Макросы в Google Docs — это не магия и не баг платформы. Это легитимный инструмент, который злоумышленники используют как приманку. Технически Google Таблицы не запускают код без вашего явного согласия — но именно на это согласие и расчёт.
Главное правило: никогда не включайте макросы в документах, которые вы не создали сами и которые не получили из абсолютно надёжного источника. Если просят «включить для просмотра» — это почти всегда обман.
Если сомневаетесь — не нажимайте. Лучше потратить минуту на звонок отправителю, чем потом восстанавливать аккаунт и объяснять контактам, почему от вашего имени приходил фишинг.
