Google представила нову систему верифікації в Gmail місяць тому, зазначивши, що додаткова позначка «убезпечить користувачів і допоможе розрізнити справжні листи компанії від повідомлень шахраїв» – однак останні, схоже, знайшли спосіб обійти перевірку.
Для верифікації компаній Google використовує BIMI (Brand Indicators for Message Identification) – засіб ідентифікації відправника в Gmail, завдяки якому до розсилки додається логотип бренду; DMARC – автентифікація повідомлень на основі домену, звітування та відповідності; та VMC – сертифікат перевіреної позначки, виданий центром сертифікації, таким як Entrust або DigiCertto. Старший архітектор з кібербезпеки Dartmouth Health Кріс Пламмер у Twitter поділився детальним прикладом того, як зловмисники підробляють сині значки.
Шахрайський лист так само містить логотип компанії (у цьому випадку служби доставки UPS) та доменом «ups.com», який надає галочку відправнику і робить повідомлення, схожим на офіційне. Одержувачу пропонують перейти за посиланням для підтвердження даних перед отриманням посилки.
There is most certainly a bug in Gmail being exploited by scammers to pull this off, so I submitted a bug which @google lazily closed as “won’t fix – intended behavior”. How is a scammer impersonating @UPS in such a convincing way “intended”. pic.twitter.com/soMq7KraHm
— plum (@chrisplummer) June 1, 2023
Дослідник каже, що одразу написав Google, яка спочатку позначила помилку такою, що «не виправляється», але згодом змінила позицію. Компанія каже, що проблема виникає через «вразливість третьої сторони», і надалі вимагатиме від відправників використання стандарту автентифікації DomainKeys Identified Mail (DKIM), щоб отримати відповідність для синіх галочок. Ця нова вимога буде введена в дію до кінця цього тижня.