Żyjemy w czasach masowych oszustw dokonywanych w internecie, przez które ciężko jest zaufać osobie, której nie znamy. Dlatego platformy internetowe od dawna starają się ułatwić weryfikację ludzi w sieci np. za sprawą małych, niebieskich znaczników potwierdzających, że konto należy do prawdziwej osoby, pod którą nikt się nie podszywa. Takie rozwiązanie stosuje nie tylko Facebook, Twitter, YouTube, ale też Google. Niestety wygląda na to, że co najmniej niektórzy cyberprzestępcy znaleźli sposób na oszukanie systemu weryfikacji Google.
System weryfikacji Google padł. Oszuści obchodzą zabezpieczenie Gmaila
Popularny klient pocztowy Gmail oferuje firmom i organizacjom możliwość weryfikacji tożsamości za pomocą systemów, takich jak BIMI (Brand Indicators for Message Identification), VMC (Verified Mark Certificate) i DMARC (Domain-based Message Authentication, Reporting and Conformance). Pozwala to zweryfikować daną personę czy podmiot i uzyskać pewność z kim mamy do czynienia co przydaje się przy wysyłaniu wiadomości. Ale jak zauważył Chris Plummer, inżynier ds. bezpieczeństwa cybernetycznego, ostatnio niektórzy oszuści znaleźli sposób na obejście zabezpieczeń Google i sprawienie, by ich wiadomości wyglądały wystarczająco wiarygodnie, jakby pochodziły z oficjalnego źródła.
Chris Plummer, inżynier ds. cyberbezpieczeństwa poinformował, że cyberprzestępcy znaleźli sposób, by obejść system weryfikacji Google. Platforma o dziwo na początku szybko zamknęła zgłoszenie, ale po aferze jaką wywołała ta decyzje postanowiła ponownie przyjrzeć się exploitowi.
There is most certainly a bug in Gmail being exploited by scammers to pull this off, so I submitted a bug which @google lazily closed as “won’t fix - intended behavior”. How is a scammer impersonating @UPS in such a convincing way “intended”. pic.twitter.com/soMq7KraHm
— plum (@chrisplummer) June 1, 2023
Za wszystko ma odpowiadać exploit. Zaniepokojony tym, co odkrył, Plummer skontaktował się z Google, żeby poinformować firmę o tej oczywiście problematycznej sytuacji. Reakcja Google zaskakuje, bo raport badacza o błędzie został odrzucony z adnotacją, że było to w jakiś sposób „zamierzone działanie”. Plummer udał się na Twittera, aby wyrazić swoje niezadowolenie z sytuacji.
Odzew internautów w mediach społecznościowych był na tyle spory, a ilość komentarzy negatywnych wobec działania amerykańskiej firmy na tyle duża, że skłoniła Google do ponownego przyjrzenia się zgłoszeniu.
Reakcja Google była zaskakująca
Piłka jest teraz po stronie Google. Ostrożnie można założyć, że exploit zostanie szybko zweryfikowany i wyeliminowany. Byłoby lepiej gdyby Google poważnie przyjrzało się problemowi trapiącemu wdrożony nie tak dawno temu system weryfikacji Gmaila. Działanie scamerów bez większego trudu oszukujących system i podszywających się pod kogoś, dzięki czemu mogą oszukać nawet bardziej ostrożnych użytkowników to groźna sprawa.
Pokaż / Dodaj komentarze do: Cyberprzestępcy z powodzeniem obchodzą zabezpieczenie Gmaila. Reakcja Google jest jednak zaskakująca