Систему верифікації адресатів, яка дозволила б користувачам Gmail швидко бачити, що лист надійшов від справжнього юзера, а не шахрая, хакнули. Зловмисники знайшли спосіб позначати свої листи синьою галочкою верифікації.
Про діру безпеки Gmail повідомив інженер з кібербезпеки Кріс Пламмер. Він знайшов спосіб для зловмисників мати синю позначку «підтверджувати» свій фішинговий акаунт Gmail.
Пламмер подав звіт про помилку в Google після того, як помітив, що шахрай надсилає підтверджену електронну пошту, видаючи себе за службу доставки UPS. Електронний лист навіть містив фірмовий логотип у вигляді щита UPS. Як запитує Пламмер у своєму твіті: «Яким чином шахрай видає себе за @UPS у такий переконливий спосіб?»
Google спочатку відхилив подання Пламмера, заявивши, що компанія не виправить помилку, оскільки це запланована поведінка.
Але згодом Google змінив думку й надіслав Пламмеру наступне: «Після уважного розгляду ми зрозуміли, що це справді не схоже на загальну вразливість SPF. Тому ми знову відкриваємо розгляд, і відповідна команда уважніше вивчає що відбувається. Ми ще раз перепрошуємо за плутанину та розуміємо, що наша перша відповідь могла бути неприємною. Щиро дякуємо, що наполягали на тому, щоб ми розглянули це ближче! Ми триматимемо вас у курсі нашої оцінки та напрямок розвитку цієї проблеми. З повагою, команда безпеки Google».
Тепер Google зробив цю помилку рівнем P1, що означає, що потребує першочергового виправлення. Але поки її не буде виправлено, користувачі Gmail повинні стежити за тим, від кого вони отримують листи.
Як завжди, не натискайте жодних посилань і, звичайно, не надавайте жодної інформації, такої як ідентифікаційні номери, номери кредитних карток, терміни дії та коди безпеки.
Якщо ви отримали важливий електронний лист у свою скриньку вхідних повідомлень Gmail і цей лист позначено синьою галочкою верифікації, краще знайдіть у Google офіційний сайт цієї компанії та особисто зателефонуйте в компанію за цим номером телефону. Не телефонуйте за номером телефону, який вказано в листі.
Наразі у світі є понад 1,8 мільярда активних користувачів Gmail.