Vad du behöver veta
- En cybersäkerhetsingenjör upptäckte en bedragare som utgav sig för att vara det officiella UPS-e-postkontot för paketinformation.
- Google förnekade möjligheten av ett problem innan de svarade, bad om ursäkt och sa att det skulle undersöka det.
- Gmails verifierade blå bockar implementerades för att säkerställa att användare kan lita på vem som skickar dem autentisk information utan att oroa sig för bedragare.
En funktion som togs in för att hjälpa sålla bort de problematiska förvandlas till ett problem i sig eftersom bedragare har hittat ett sätt att dupera Gmails nya verifieringssystem. Cybersäkerhetsingenjör Chris Plummer har skrivit ett alarmerande upptäckt på Twitter och visar en bedragare som utger sig för att vara det officiella UPS-e-postkontot (via Android Police).
Plummer förklarade att e-postmeddelandet de fick gick från "ett Facebook-konto, till ett brittiskt nätblock, till O365, till mig."
"Ingenting om detta är legitimt," sade Plummer. "Google vill helt enkelt inte ta itu med den här rapporten ärligt." Tydligen, efter att ha kontaktat Google om det uppenbara parodiet i verifieringsmärke, förnekade Mountain View-företaget alla problem och levererade ett svar som sa: "kommer inte att fixa - avsett beteende."
Det finns säkerligen en bugg i Gmail som utnyttjas av bedragare för att få till det här, så jag skickade in en bugg som @google slarvigt stängde som "kommer inte att fixa - avsett beteende". Hur är en bedragare som utger sig för att vara @UPS på ett så övertygande sätt "avsiktlig". pic.twitter.com/soMq7KraHm1 juni 2023
Se mer
Men eftersom tweeten gick upp och snabbt fick dragkraft, svarade Google Plummer ännu en gång om ämnet. Googles säkerhetsteam sa: "Efter att ha tittat närmare på insåg vi att detta verkligen inte verkar vara en generisk SPF-sårbarhet. Därför öppnar vi det här igen och det lämpliga teamet tittar närmare på vad som händer."
Tyvärr var ingenjören tvungen att gå igenom omloppet så här, med tanke på faktisk UPS e-post de fick för sitt paket var från "[email protected]" medan det duperade var "[email protected]."
Förhoppningsvis kan Google få det här problemet under kontroll innan det blir ett mer oroande problem för användarna. Som tidigare nämnts hjälper dessa verifierade bockar användare att rensa bort vad som bör lita på och vad som bör kasseras.
Twitter gick nyligen igenom en liknande tankeprocess med återinförandet av sin Blue-prenumerationstjänst, som också såg sin andel av bedragareprofiler. Företaget rullade ut en "officiell" etikett för konton som verkligen är den verkliga affären (verifierad) så att användare kan skilja information mellan en officiell källa och någon som precis köpt en blå bock.
Google skisserade sin egen version av blå bockar i början av maj. Företaget uppgav att märkena skulle identifiera "legitima e-postavsändare".
Systemet använder Googles BIMI-system för att fastställa en avsändares legitimitet. Även om personliga konton förmodligen inte kommer att få dessa bockmarkeringar, kan ditt företag (om uppstart) skulle ha en så att användarna kan lita på den. Dessutom är förtroende vad det här systemet är tänkt att åberopa, men att vackla när något dyker upp som ser skumt ut är inte en bra början. Google bör förhoppningsvis åtgärda problemet snart så att användarna kan få sinnesfrid med ett system som är designat för att göra det.
- Telefonerbjudanden: Bästa köp | Walmart | Samsung | Amazon | Verizon | AT&T