Google представила нову систему верифікації в Gmail місяць тому, зазначивши, що додаткова позначка «убезпечить користувачів і допоможе розрізнити справжні листи компанії від повідомлень шахраїв» – однак останні, схоже, знайшли спосіб обійти перевірку.
Для верифікації компаній Google використовує BIMI (Brand Indicators for Message Identification) – засіб ідентифікації відправника в Gmail, завдяки якому до розсилки додається логотип бренду; DMARC – автентифікація повідомлень на основі домену, звітування та відповідності; та VMC – сертифікат перевіреної позначки, виданий центром сертифікації, таким як Entrust або DigiCertto. Старший архітектор з кібербезпеки Dartmouth Health Кріс Пламмер у Twitter поділився детальним прикладом того, як зловмисники підробляють сині значки.
Шахрайський лист так само містить логотип компанії (у цьому випадку служби доставки UPS) та доменом «ups.com», який надає галочку відправнику і робить повідомлення, схожим на офіційне. Одержувачу пропонують перейти за посиланням для підтвердження даних перед отриманням посилки.
Дослідник каже, що одразу написав Google, яка спочатку позначила помилку такою, що «не виправляється», але згодом змінила позицію. Компанія каже, що проблема виникає через «вразливість третьої сторони», і надалі вимагатиме від відправників використання стандарту автентифікації DomainKeys Identified Mail (DKIM), щоб отримати відповідність для синіх галочок. Ця нова вимога буде введена в дію до кінця цього тижня.