Não é segredo que, nos últimos anos, o Google tem trabalhado ativamente para evitar golpes de e-mail de phishing. E, em linha com esses esforços, a empresa introduziu recentemente um novo recurso no Gmail chamado Brand Indicators for Message Identification (BIMI), que permite que as empresas verifiquem suas identidades e adicionem uma marca de seleção azul, dando aos usuários uma camada extra de proteção contra golpistas. No entanto, parece que os invasores já encontraram uma maneira de explorar esse sistema, levantando algumas preocupações sérias.
O problema foi o primeiro descoberto pelo engenheiro de segurança cibernética Chris Plummer, que descobriu que os agentes de ameaças eram capazes de enganar os sistemas de autenticação do Gmail, o que permitia que eles se disfarçassem como remetentes legítimos e contornassem as verificações de segurança. Como resultado, Plummer relatou rapidamente o bug ao Google na esperança de que ele investigasse essa falha crítica. Infelizmente, o Google fechou o relatório, alegando que era “comportamento intencional”. Frustrado com essa resposta, Plummer foi ao Twitter para compartilhar suas descobertas, onde o relatório rapidamente ganhou atenção e causou angústia e preocupações generalizadas.
“Certamente há um bug no Gmail sendo explorado por golpistas para puxar isso desligado, então enviei um bug que o Google preguiçosamente fechou como”não vai consertar-comportamento pretendido”. Como é que um golpista se faz passar pela UPS de maneira tão convincente?”, disse Plummer no Twitter.
Preocupações generalizadas
Embora o Google ainda não tenha emitido uma declaração sobre o relatório de Plummer, o clamor coletivo nas mídias sociais pode levar a empresa a reavaliar sua rejeição inicial ao assunto. Isso ocorre porque, como usuários, contamos com esses sistemas de verificação para proteger nossas interações on-line, e a capacidade de diferenciar entre fontes genuínas e fraudulentas é crucial para proteger nossas informações pessoais e evitar fraudes.
No entanto, até O Google lança uma correção, os usuários devem permanecer vigilantes e tomar medidas adicionais para se protegerem de possíveis golpes. Essas medidas incluem ser cauteloso com e-mails que solicitam informações confidenciais, abster-se de abrir links suspeitos, verificar novamente endereços de e-mail e ativar 2FA.