Um bug no recurso de verificação de contas do Gmail permite que criminosos enganem usuários fingindo ser empresas legítimas.
Recentemente, o Google implementou um novo recurso ao Gmail que permite que empresas adicionem um selo de verificação aos e-mails enviados.
Sabendo disso, golpistas da internet já encontraram um jeito de utilizar a novidade para cometer fraudes.
O que acontece
- O Gmail oferece às empresas e organizações a capacidade de verificar sua identidade com diferentes sistemas. É o caso do BIMI (indicadores de marca para identificação de mensagens), VMC (certificado de marca verificada) e DMARC (autenticação, relatórios e conformidade de mensagens baseadas em domínio).
- Ao adicionar o recurso, o Google esperava dificultar práticas de agentes mal-intencionados que se passam por empresas para cometer golpes de phishing, por exemplo.
- Contudo, quando uma empresa pula os obstáculos necessários para provar que é quem diz ser, o Gmail começa a exibir o logotipo da empresa, bem como a marca de seleção azul ao lado do nome.
O efeito do recurso, portanto, foi o contrário do desejado — conforme relatou o engenheiro de segurança cibernética que descobriu tudo isso.
Segundo explicou Chris Plummer, criminosos encontraram uma forma de contornar as proteções do Google e fazer com que as mensagens enviadas no Gmail fiquem muito semelhantes ao de empresas legítimas.
A prática é possível através de um bug no sistema de verificação.
Leia mais:
- Receita Federal alerta contra golpe na restituição do Imposto de Renda
- O que é um nome de usuário no Gmail?
- Google faz alerta sobre mercado da tecnologia no Brasil
- Golpes por SMS: veja os perigos do smishing e SMS spoofing e aprenda a se proteger
Com a descoberta, Plummer entrou em contato com o Google para informar sobre a falha.
Porém, segundo ele, a empresa não deu a devida atenção à denúncia, informando que o bug apresenta um “comportamento intencional”. A resposta, obviamente, não agradou o engenheiro.
Então, ele publicou sua descoberta no Twitter.
Após a publicação viralizar, como relata Plummer, o Google reavaliou a denúncia e disse que a vulnerabilidade de fato não parecia “genérica”.
“Pedimos desculpas pela confusão e entendemos que nossa resposta inicial pode ter sido frustrante, muito obrigado por nos pressionar para olharmos isso mais de perto!”
A equipe de segurança da big tech afirmou que o bug está sendo avaliado. Até o momento da publicação dessa matéria, o engenheiro não publicou uma resolução do caso.
Fique atento aos golpes de phishing
Enquanto o problema não está resolvido, você pode conferir algumas dicas de como se proteger e como identificar golpes de phishing, que geralmente são disseminados por e-mail, nesse tutorial feito pelo Olhar Digital.
Com informações de Android Police.