Kilka tygodni temu Gmail wprowadził odznaki weryfikacyjne w poczcie Gmail. Teraz okazuje się, że system ten jest wyjątkowo prosty do obejścia...
Poważny problem w Gmail. Nowość przyniosła efekty odwrotne do zamierzonych
Dosłownie kilka tygodni temu informowaliśmy o tym, że Google wprowadza do poczty Gmail nowy system weryfikacji użytkowników. Charakterystyczna niebieska odznaka, miała dać nam pewność, że nadawca pod nikogo się nie podszywa — i wszystko z wiadomością e-mail jest w jak najlepszym porządku. W dobie stale wysyłanych fałszywych wiadomości e-mail — nie bez powodu ucieszyło to miliony użytkowników na całym świecie. Na efekty działań oszustów nie trzeba było długo czekać. Ogranie tego systemu zajęło im krótką chwilę.
Polecamy na Geekweek: Jak czytać PESEL? 11 cyfr, które są z nami przez całe życie
Oszuści już poradzili sobie z procesem weryfikacji w Gmail. Niebieskim odznakom nie można ufać
Nowa forma weryfikacji została wprowadzona w Gmailu dosłownie w ubiegłym miesiącu. To właśnie ona umożliwiła firmom weryfikację swoich kont, by wysyłając wiadomości użytkownikom ci byli pewni, że wszystko jest w najlepszym porządku. Dodatkowa ikonka miała ich zapewnić, że maile które otrzymują są "oficjalne". W teorii brzmi to świetnie, ale jak się okazuje, system nie działa tak dobrze, jak większość z nas by tego oczekiwała. zwłaszcza w kwestii faktycznego dbania o nasze bezpieczeństwo.
Chris Plummer, starszy architekt ds. cyberbezpieczeństwa w Dartmouth Health, opublikował na Twitterze w zeszłym tygodniu informację o problemie z niebieskimi znaczkami weryfikacji w poczcie Gmail. Jasno pokazuje, że jest możliwe oszustwo z wykorzystaniem takich oznaczeń. Tym samym czyni on je kompletnie bezużytecznymi. Co więcej — ich obecność w tej formie wydaje się być po prostu niebezpieczna i jeszcze bardziej narażać użytkowników. Przez tę ikonkę którzy najzwyczajniej w świecie mogą stać się przy mniej czujni.
Weryfikacja Gmail, która nie działa jak należy
Poczta Google przy tejże weryfikacji wykorzystuje BIMI (Brand Indicators for Message Identification), DMARC (Domain-based Message Authentication, Reporting, and Conformance) oraz VCM (Verified Mark Certificate), wydawane przez organy certyfikujące, takie jak Entrust czy DigiCert. Ich celem ma być zweryfikowanie zarówno wykorzystywanego w komunikacji logo, jak i domeny. Plummer nie wdaje się w szczegóły na temat sposobu, w jaki oszuści ominęli system. Ale podaje przykład wiadmości, która wykorzystuje logo firmy UPS oraz adresu e-mail, w którym pojawia się "ups.com". Tyle wystarczyło, aby podrobić znak niebieskiej kropki na wiadomości. Przyglądając się adresowi nadawcy widać jak na dłoni, że coś tu nie gra. Ale użytkownicy którzy nie rozwijają pola z nadawcą widząc logo UPS oraz niebieski znaczek weryfikacyjny mogą poczuć się pewnie, że wszystko jest w najlepszym porządku. I to właściwie jest najbardziej niepokojące w tej całej historii.
Początkowo raport błędu zgłoszony przez Plummera został przez Google oznaczony jako "zamierzone zachowanie". Nie trzeba było jednak długo czekać na to, by firma zmieniła zdanie i ponownie przyjrzała się sprawie. To daje nadzieję na to, że sprawnie system zostanie uszczelniony. W oświadczeniu udzielonym krótko po opublikowaniu tej historii, internetowy gigant podjął próbę wyjaśnienia sytuacji. Twierdzi on, że problem wynika z podatności osób trzecich, a w odpowiedzi Google będzie wymagać, aby nadawcy używali bardziej zaawansowanego standardu uwierzytelniania poczty elektronicznej (DKIM — DomainKeys Identified Mail), aby zakwalifikować się do statusu niebieskiej odznaki weryfikacyjnej. Nowe wymaganie zostanie wprowadzone do końca tego tygodnia. Na ten moment jednak nie pozostaje nam nic innego, jak tylko pozostać czujnym i nie dać się złapać na żaden scam. A zwłaszcza ten bezczelnie udający, że wszystko jest w najlepszym porządku.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu