Was du wissen musst
- Ein Cybersicherheitsingenieur entdeckte einen Betrüger, der sich für Paketinformationen als offizielles UPS-E-Mail-Konto ausgab.
- Google verneinte die Möglichkeit eines Problems, bevor es antwortete, sich entschuldigte und ankündigte, man werde es untersuchen.
- Die verifizierten blauen Häkchen von Gmail wurden implementiert, um sicherzustellen, dass Benutzer vertrauen können, wer ihnen authentische Informationen sendet, ohne sich um Betrüger sorgen zu müssen.
Eine Funktion, die eingeführt wurde, um die problematischen E-Mails auszusortieren, wird selbst zu einem Problem, da Betrüger einen Weg gefunden haben, das neue Verifizierungssystem von Gmail zu täuschen. Der Cybersicherheitsingenieur Chris Plummer hat einen gepostet alarmierende Entdeckung auf Twitter und zeigt einen Betrüger an, der sich als offizieller UPS-E-Mail-Account ausgibt (via Android-Polizei).
Plummer erklärte, dass die E-Mail, die sie erhalten hatten, von „einem Facebook-Konto, zu einem britischen Netzblock, zu O365 und zu mir“ ging.
„Nichts davon ist legitim“, erklärte Plummer. „Google will mit diesem Bericht einfach nicht ehrlich umgehen.“ Anscheinend, nachdem ich Google wegen der offensichtlichen Parodie kontaktiert hatte Das Unternehmen Mountain View verneinte jegliches Problem und antwortete: „Kann nicht behoben werden – beabsichtigt.“ Verhalten."
Es gibt mit Sicherheit einen Fehler in Gmail, der von Betrügern ausgenutzt wird, um dies zu bewerkstelligen. Deshalb habe ich einen Fehler gemeldet, den @google träge mit der Meldung „Wird nicht behoben – beabsichtigtes Verhalten“ geschlossen hat. Wie ist es „absichtlich“, dass ein Betrüger sich auf so überzeugende Weise als @UPS ausgibt? pic.twitter.com/soMq7KraHm1. Juni 2023
Mehr sehen
Da der Tweet jedoch auftauchte und sofort Anklang fand, antwortete Google Plummer noch einmal zu diesem Thema. Das Google-Sicherheitsteam erklärte: „Nach genauerer Betrachtung stellten wir fest, dass es sich tatsächlich nicht um eine generische SPF-Schwachstelle zu handeln schien.“ Deshalb öffnen wir die Angelegenheit wieder und das zuständige Team schaut sich die Vorgänge genauer an.“
Leider musste der Ingenieur den Rundlauf so absolvieren, wenn man bedenkt, dass tatsächlich Die UPS-E-Mail, die sie für ihr Paket erhielten, stammte von „[email protected]“, während die getäuschte E-Mail „[email protected]“ lautete.
Hoffentlich kann Google dieses Problem in den Griff bekommen, bevor es für die Nutzer zu einem noch besorgniserregenderen Problem wird. Wie bereits erwähnt, helfen diese verifizierten Häkchen Benutzern dabei, herauszufinden, was vertrauenswürdig ist und was verworfen werden sollte.
Twitter durchlief kürzlich einen ähnlichen Denkprozess mit der Wiedereinführung seines Blue-Abonnementdienstes, bei dem es auch viele Betrügerprofile gab. Das Unternehmen führte ein „offizielles“ Beschriftung für Konten Dabei handelt es sich tatsächlich um echte (verifizierte) Informationen, sodass Benutzer Informationen zwischen einer offiziellen Quelle und jemandem unterscheiden können, der gerade ein blaues Häkchen gekauft hat.
Google hat seine eigene Version von vorgestellt blaue Häkchen Anfang Mai. Das Unternehmen gab an, dass die Markierungen „legitime E-Mail-Absender“ identifizieren würden.
Das System nutzt das BIMI-System von Google, um die Legitimität eines Absenders zu ermitteln. Während Privatkonten diese Häkchen wahrscheinlich nicht erhalten, ist Ihr Unternehmenskonto (falls vorhanden) nicht mit diesen Häkchen versehen aufstellen) hätte eine, damit Benutzer ihr vertrauen können. Darüber hinaus soll dieses System Vertrauen hervorrufen, aber schwankend zu sein, wenn etwas fragwürdig aussieht, ist kein guter Anfang. Google sollte das Problem hoffentlich bald beheben, damit die Nutzer beruhigt mit einem dafür konzipierten System arbeiten können.
- Telefonangebote: Bester Kauf | Walmart | Samsung | Amazonas | Verizon | AT&T