眾所周知,在過去幾年中,Google 一直在積極致力於防止網絡釣魚電子郵件詐騙。為了配合這些努力,該公司最近在 Gmail 中推出了一項名為“消息識別品牌指標”(BIMI) 的新功能,該功能允許公司驗證其身份並添加藍色複選標記,從而為用戶提供額外的保護層以防止詐騙。然而,看起來威脅行為者已經找到了利用該系統的方法,引起了一些嚴重的擔憂。
問題首先是 由網絡安全工程師 Chris Plummer 發現,他發現威脅行為者能夠欺騙 Gmail 的身份驗證系統,這使他們能夠偽裝成合法發件人並繞過安全檢查。因此,Plummer 迅速向 Google 報告了該錯誤,希望 Google 調查這一嚴重缺陷。不幸的是,谷歌關閉了這份報告,聲稱這是“有意的行為”。 Plummer 對這種回應感到沮喪,他在 Twitter 上分享了他的發現,該報告很快引起了人們的關注,並引起了廣泛的困擾和擔憂。
關閉,所以我提交了一個錯誤,Google 懶洋洋地將其關閉為“不會修復-預期行為”。騙子如何以如此令人信服的方式冒充 UPS,”Plummer 在 Twitter 上說。
廣泛關注
雖然谷歌尚未就 Plummer 的報告發表聲明,但社交媒體上的集體抗議可能會促使該公司重新評估其最初對該問題的駁斥。這是因為,作為用戶,我們依靠這些驗證系統來保護我們的在線互動,並且區分真實來源和欺詐來源的能力對於保護我們的個人信息和避免詐騙至關重要。
但是,直到谷歌發布了一個修復程序,用戶應該保持警惕並採取額外措施來保護自己免受潛在的詐騙。這些措施包括謹慎對待要求提供敏感信息的電子郵件、避免打開可疑鏈接、仔細檢查電子郵件地址以及啟用 2FA。
