安全研究人员表示，他们看到了“；巨浪”；恶意黑客利用谷歌文档中的评论功能，将恶意内容传播到毫无戒心的目标用户的收件箱中。

根据Avanan发布的一篇博客文章，Google Docs的评论功能，以及它的同事Google Workplace基于web的应用程序Google Sheets和Google Slides，正被用来发送恶意链接。

网络犯罪分子可以利用该漏洞向几乎任何电子邮件地址发送消息，但这些电子邮件实际上是从谷歌发送的，因此可能看起来可信。

欺诈者只需创建一个谷歌文档、电子表格或演示文稿，并添加标记目标的注释’；的电子邮件地址。谷歌认为这是对“；有益的”；通知用户他们已被标记，并向他们发送文档’；的内容（包括任何恶意链接。）

使用该技术传播恶意垃圾邮件和网络钓鱼信息不仅使个人更难确定电子邮件是否危险，而且还可能给将谷歌视为可信发件人的电子邮件过滤解决方案带来额外的挑战。

Avanan研究人员JeremyFuchs写道，他看到的最新攻击目标是Outlook用户–；尽管不是唯一的：

“；它攻击了30个租户的500多个收件箱，黑客使用了100多个不同的Gmail帐户”；

电子邮件中不包含攻击者’；的电子邮件地址，但只有其显示名称。

换句话说，恶意攻击者可以创建“；约翰。smith@gmail.com”；，例如，并将其用作“；约翰。smith@company.com”；。如果预期目标也在“；公司com”；然后，他们可能很容易被愚弄，以为这是关于他们的一位同事在谷歌文档中留下的评论的真实通知。

该技术可用于传播指向恶意软件的链接，以及可能试图窃取粗心用户登录凭据的钓鱼链接。

Fuchs声称，尽管去年10月科技新闻界公开了谷歌文档评论如何被利用来传播垃圾邮件的威胁，但谷歌并未对此作出回应。

担心的用户可以通过小心点击可疑链接来保护自己，以及–；如果仍然不确定–；联系合法发件人，看看他们是否真的在谷歌文档或其他协作应用程序中标记了他们。