Google uzbraja Gmaila w nową broń, która ma pomóc odróżnić maile rzeczywistych firm od prób phishingu. Czym jest BIMI?
Jeżeli poszukamy informacji o tym, jakie techniki cyberprzestępczości odpowiadają za największe straty wśród użytkowników, możemy się nieco zaskoczyć. Owszem, znajdą się na tej liście wyszukane wirusy, malware i techniki takie jak ransomware, ale na pierwszym miejscu bezapelacyjnie pozostaje to, co nie działa może tak skutecznie, ale ze względu na swoją powszechność zbiera największe żniwo - phishing. Podszywanie się pod firmy i instytucje jest dziś prawie tak samo łatwe jak 20 lat temu, a przez to, że dziś bardziej polegamy na systemach, dużo łatwiej uwierzyć w to, że otrzymaliśmy zautomatyzowaną wiadomość z poleceniem zapłaty czy nakłaniającą nas do założenia gdzieś konta by załatwić ważną dla nas sprawę. Przestępcy korzystają tutaj ze strategii nisko wiszących jabłek - nie celują atakami w konkretnych użytkowników tylko we wszystkich, licząc, że złapią najbardziej podatnych. Na szczęście Google zapowiedziało, że ich Gmail dostanie ważne usprawnienie, które może choć trochę pomóc w tej sytuacji.
Gmail wdraża BIMI. Co to jest?
Nowy pomysł Google opiera się na przyznawaniu wybranym, zgłaszającym się instytucjom Brand Indicators for Message Identification, czyli w skrócie BIMI. Dzięki temu przy mailach z ich domen widoczny będzie specjalny obrazek, który upewni użytkownika, że ma on do czynienia z mailem od prawdziwej instytucji, a nie scamerów używających bardzo podobnego adresu e-mail. BIMI jest standardem autoryzacji już od jakiegoś czasu i aby móc z niego korzystać, firma musi wpierw korzystać ze specjalnych protokołów autoryzacyjnych (DMARC) i zgłosić chęć uczestnictwa w programie. Po weryfikacji ze strony komisji (i w tym wypadku, także Google), w miejscu avatara pojawi się logo danej firmy.
BIMI zdecydowanie może dać przewagę konsumentom w nierównej walce ze scamerami, ponieważ ci nie będą mogli tak łatwo podszywać się pod firmy. Jednak jak z każdym systemem, widzę tu dwa główne problemy. Po pierwsze - na pewno nie wszystkie firmy wezmą udział w programie, przez co nigdy nie będzie 100 proc. pewności, czy to scam, czy dana firma po prostu nie zadała sobie trudu by się zautoryzować. Druga kwestia to to, że wcześniej czy później ktoś popełni błąd i autoryzację uzyska ktoś, kto absolutnie uzyskać jej nie powinien. Dokładnie w taki sam sposób, jak autoryzację uzyskały fake'owe konta na Twitterze. Nie wierzę więc, by Google jedną sztuczką rozwiązało problem phishingu mailowego.
Miejmy więc nadzieję, że dzięki temu cyberprzestrzeń będzie choć trochę bezpieczniejsza.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu