Okazuje się, że znaczek weryfikacji w Gmailu, mimo zapewnień Google, wcale nie gwarantuje bezpieczeństwa. Za to daje jego złudne poczucie, co może być bardzo zdradliwe.
Google cały czas walczy z phishingiem, a najnowszą bronią przeciwko oszustom miał być niebieski znaczek weryfikacji w Gmailu, zwany BIMI (od ang. Brand Indicators for Message Identification). Miał być, bo, jak wynika z doniesień Chrisa Plummera, inżyniera ds. cyberbezpieczeństwa, zabezpieczenie nie działa. W dodatku spółka nieszczególnie się tym faktem przejmuje.
Przypomnijmy, niebieski znaczek powinien świadczyć o tym, że dany nadawca jest wiarygodny i zweryfikowany przez Google. Rzecz polega na tym, że odpowiednio ustawiając nagłówek wiadomości, weryfikacją może pochwalić się dosłownie każdy, podszywając przy tym pod dowolną firmę.
There is most certainly a bug in Gmail being exploited by scammers to pull this off, so I submitted a bug which @google lazily closed as “won’t fix - intended behavior”. How is a scammer impersonating @UPS in such a convincing way “intended”. pic.twitter.com/soMq7KraHm
— plum (@chrisplummer) June 1, 2023
Badacz udowodnił swą tezę prezentując wiadomość sygnowaną jako firma kurierska UPS, z którą to oczywiście rzeczony spedytor nie miał nic wspólnego. Czyli dokładnie tak, jak dzieje się to w przypadku klasycznych, oszukańczych maili. Tu jednak dochodzi jeszcze papierek lakmusowy w postaci logo i zapewnienia weryfikacji, co czyni potencjalne oszustwo jeszcze groźniejszym.
Ale co najciekawsze, Plummer miał zaraportować błąd wprost do Google. Tylko, spółka zdaniem badacza zamiotła temat pod dywan, nazywając przedstawione zachowanie „zamierzonym”. Sprawa pozostaje więc w toku, a tymczasem, mając Gmaila, należy bezwzględnie uważać na rzekomo zweryfikowane wiadomości.
Źródło zdjęć: Proxima / Shutterstock
Źródło tekstu: Twitter, oprac. własne
