O que você precisa saber
- Um engenheiro de segurança cibernética descobriu um golpista se passando pela conta de e-mail oficial da UPS para obter informações sobre o pacote.
- O Google negou a possibilidade de um problema antes de responder, pedindo desculpas e afirmando que iria investigar.
- As marcas de seleção azuis verificadas do Gmail foram implementadas para garantir que os usuários possam confiar em quem está enviando informações autênticas sem se preocupar com golpistas.
Um recurso que foi trazido para ajudar a eliminar os problemáticos está se tornando um problema, já que os golpistas encontraram uma maneira de enganar o novo sistema de verificação do Gmail. O engenheiro de segurança cibernética Chris Plummer postou um descoberta alarmante no Twitter, exibindo um golpista se passando por conta de e-mail oficial da UPS (via Android Police).
Plummer explicou que o e-mail que receberam foi de “uma conta do Facebook, para um netblock do Reino Unido, para O365, para mim”.
“Nada sobre isso é legítimo”, afirmou Plummer. “O Google simplesmente não quer lidar com este relatório honestamente.” Aparentemente, depois de entrar em contato com o Google sobre a falsificação óbvia na marca de verificação, a empresa de Mountain View negou qualquer problema, entregando uma resposta que afirmava: “não corrigirá – comportamento pretendido”.
Certamente há um bug no Gmail sendo explorado por golpistas para fazer isso, então enviei um bug que o @google preguiçosamente fechou como “não corrigirá – comportamento pretendido”. Como um golpista está se passando por @UPS de forma tão convincente “intencionalmente”. pic.twitter.com/soMq7KraHm1º de junho de 2023
No entanto, como o tweet subiu e ganhou força prontamente, o Google respondeu a Plummer mais uma vez sobre o assunto. A equipe de segurança do Google afirmou: “Depois de examinar mais de perto, percebemos que isso realmente não parece uma vulnerabilidade SPF genérica. Portanto, estamos reabrindo isso e a equipe apropriada está analisando mais de perto o que está acontecendo.”
Infelizmente, o engenheiro teve que passar por uma volta assim, considerando o real O e-mail da UPS que eles receberam para o pacote era de “[email protected]”, enquanto o enganado era “[email protected]”.
Felizmente, o Google pode controlar esse problema antes que se torne um problema mais preocupante para os usuários. Conforme declarado anteriormente, essas marcas de verificação verificadas ajudam os usuários a eliminar o que deve ser confiável e o que deve ser descartado.
O Twitter recentemente passou por um processo de pensamento semelhante com a reintrodução de seu serviço de assinatura Blue, que também viu sua parcela de perfis impostores. A empresa lançou um rótulo “Oficial” para contas que são realmente reais (verificadas), para que os usuários possam diferenciar as informações entre uma fonte oficial e alguém que acabou de comprar um tick azul.
O Google delineou sua própria versão de marcas de seleção azuis no início de maio. A empresa afirmou que as marcas identificariam “remetentes de e-mail legítimos”.
O sistema usa o sistema BIMI do Google para determinar a legitimidade de um remetente. Embora as contas pessoais provavelmente não recebam essas marcas de seleção, sua empresa (se configurada) teria uma para que os usuários possam confiar nela. Além disso, confiança é o que esse sistema deve invocar, mas vacilar quando algo parece suspeito não é um bom começo. O Google deve corrigir o problema em breve, para que os usuários possam ficar tranquilos com um sistema que foi projetado para isso.