Hva du trenger å vite
- En cybersikkerhetsingeniør oppdaget en svindler som utga seg som den offisielle UPS-e-postkontoen for pakkeinformasjon.
- Google avviste muligheten for et problem før de svarte, ba om unnskyldning og sa at de ville undersøke.
- Gmails bekreftede blå hakemerker ble implementert for å sikre at brukere kan stole på hvem som sender dem autentisk informasjon uten å bekymre seg for svindlere.
En funksjon som ble hentet inn for å hjelpe til med å luke ut de problematiske, blir i seg selv et problem ettersom svindlere har funnet en måte å lure Gmails nye bekreftelsessystem på. Cybersikkerhetsingeniør Chris Plummer la ut et alarmerende oppdagelse på Twitter, og viser en svindler som utgir seg for å være den offisielle UPS-e-postkontoen (via Android politi).
Plummer forklarte at e-posten de mottok gikk fra "en Facebook-konto, til en britisk nettblokk, til O365, til meg."
"Ingenting om dette er lovlig," uttalte Plummer. "Google ønsker bare ikke å håndtere denne rapporten ærlig." Tilsynelatende, etter å ha kontaktet Google om den åpenbare forfalskningen i bekreftelsesmerket, avviste Mountain View-selskapet ethvert problem, og leverte et svar som sa: "vil ikke fikse - ment oppførsel."
Det er helt sikkert en feil i Gmail som blir utnyttet av svindlere for å få til dette, så jeg sendte inn en feil som @google dovent lukket som "vil ikke fikse - tiltenkt oppførsel". Hvordan er en svindler som etterligner @UPS på en så overbevisende måte "ment". pic.twitter.com/soMq7KraHm1. juni 2023
Se mer
Siden tweeten gikk opp og raskt fikk gjennomslag, svarte Google Plummer nok en gang om emnet. Googles sikkerhetsteam uttalte: "Etter å ha tatt en nærmere titt innså vi at dette faktisk ikke virker som en generisk SPF-sårbarhet. Derfor gjenåpner vi dette og det aktuelle teamet ser nærmere på hva som skjer."
Dessverre måtte ingeniøren gå gjennom rundkjøringen på denne måten, med tanke på faktiske UPS-e-posten de mottok for pakken sin var fra "[email protected]", mens den dupede var "[email protected]."
Forhåpentligvis kan Google få dette problemet under kontroll før det blir et mer bekymringsfullt problem for brukerne. Som tidligere nevnt, hjelper disse bekreftede hakene brukere med å luke ut hva som bør stole på og hva som bør forkastes.
Twitter gikk nylig gjennom en lignende tankeprosess med gjeninnføringen av Blue-abonnementstjenesten, som også så sin andel av bedragerprofiler. Selskapet rullet ut en "offisiell" etikett for kontoer som virkelig er den virkelige avtalen (verifisert) slik at brukere kan skille informasjon mellom en offisiell kilde og noen som nettopp har kjøpt en blå hake.
Google skisserte sin egen versjon av blå hake i begynnelsen av mai. Selskapet uttalte at merkene ville identifisere "legitime e-postavsendere."
Systemet bruker Googles BIMI-system for å fastslå en avsenderes legitimitet. Selv om personlige kontoer sannsynligvis ikke får disse hakene, vil bedriften din (hvis sette opp) ville ha en slik at brukerne kan stole på den. I tillegg er tillit det dette systemet er ment å påkalle, men det er ikke en god start å vingle når noe dukker opp som ser fishy ut. Google bør forhåpentligvis rette opp problemet snart, slik at brukerne kan ha trygghet med et system som er designet for å gjøre det.
- Telefontilbud: Beste kjøp | Walmart | Samsung | Amazon | Verizon | AT&T