Na początku maja dowiedzieliśmy się, że Google, wzorem serwisów społecznościowych czy nawet YouTube’a, wprowadzi na Gmail znaczek weryfikacji. Znajoma niebieska ikonka nie miałaby „sprzedajna”, jak to ma miejsce na Twitterze, a dostęp do niej miały zyskać tylko nieliczne firmy. Dokładniej te, które są uczestnikami programu Brand Indicators for Message Identification (BIMI) – zostały wcześniej zgłoszone i przeszły solidną weryfikację w celu ustalenia ich wiarygodności. Dzięki temu mieliśmy mieć pewność, że jeśli dostajemy maila od firmy, przy której nazwie wyświetla się niebieski „ptaszek”, jest to wiadomość z wiarygodnego źródła.
To miała być jedna z tych dobrych zmian. W dobie ciągłych oszustw, które czyhają na nas niemalże na każdym kroku, dobrze jest mieć pewność, że przynajmniej na Gmail możemy czuć się trochę bezpieczniejsi. W końcu Google ręczy za weryfikację danych firm, więc nie powinno być tutaj żadnych problemów, prawda? No cóż… rzeczywistość po raz kolejny zweryfikowała plany giganta.
Znaczniki weryfikacji w Gmailu wykorzystywane są przez cyberprzestępców
Chciałabym napisać, że jestem tym jakoś mocno zaskoczona, ale nie mogę. Co prawda giganci technologiczni dwoją się i troją, by podnosić bezpieczeństwo użytkowników oraz zapobiegać oszustwom w sieci, jednak nie tylko oni pracują w pocie czoła. Cyberprzestępcy także nie śpią i właśnie pokazali, że nie ważne, jak Google byłby pewny swoich narzędzi, oni są w stanie wykorzystać je do własnych celów.
Jak odkrył inżynier ds. bezpieczeństwa cybernetycznego, Chris Plummer, system dość szybko został oszukany. Bo znaczniki wdrażano 3-6 maja, więc minął zaledwie miesiąc. Google chciał dobrze, ale w rzeczywistości dał teraz przestępcą jeszcze lepszy sposób na dokonywanie oszustw. Bo przecież nazwa firmy oznaczona weryfikacją nie budzi już w tym wypadku żadnych wątpliwości, nawet jeśli adres mailowy wygląda nieco podejrzanie.
Plummer oczywiście natychmiast zgłosił swoje odkrycie gigantowi, a Google… odrzucił to. Na szczęście tweet badacza bardzo szybko rozszedł się po sieci i firma musiała jeszcze raz przyjrzeć się sprawie, taktując problem bezpieczeństwa niebieskiego znacznika w Gmail priorytetowo. Zapewne zmusiły ją do tego inne zgłoszenia, choć co do tego nie mamy potwierdzenia.
Po bliższym przyjrzeniu się zdaliśmy sobie sprawę, że rzeczywiście nie wygląda to na ogólną lukę w zabezpieczeniach SPF. W związku z tym przyjrzymy się sprawie ponownie, a odpowiedni zespół przygląda się bliżej temu, co się dzieje. Jeszcze raz przepraszamy za zamieszanie i rozumiemy, że nasza początkowa reakcja mogła być frustrująca. Dziękujemy bardzo za naciskanie, abyśmy przyjrzeli się temu bliżej!
Nie wiadomo, co tak naprawdę się stało i jak przestępcom udało się obejść zabezpieczenia. Google już szykuje stosowną poprawkę, choć to zapewne zajmie trochę czasu. Dlatego przynajmniej do momentu jej wydania, nie powinniśmy ufać niebieskim ptaszkom w Gmailu. A nawet po naprawieniu luki, lepiej kilka razy sprawdzić autentyczność maila, niż paść ofiarą oszustwa.