Ei ole mikään salaisuus, että Google on viime vuosina työskennellyt aktiivisesti tietojenkalasteluhuijausten estämiseksi. Ja näiden pyrkimysten mukaisesti yritys esitteli äskettäin Gmailissa uuden ominaisuuden nimeltä Brand Indicators for Message Identification (BIMI), jonka avulla yritykset voivat vahvistaa henkilöllisyytensä ja lisätä sinisen valintamerkin, mikä antaa käyttäjille ylimääräisen suojan huijareita vastaan. Näyttää kuitenkin siltä, että uhkatoimijat ovat jo löytäneet tavan hyödyntää tätä järjestelmää, mikä herättää vakavia huolenaiheita.
Ongelma oli ensimmäinen löysi kyberturvallisuusinsinööri Chris Plummer, joka havaitsi, että uhkatekijät pystyivät huijaamaan Gmailin todennusjärjestelmiä, mikä antoi heille mahdollisuuden naamioitua laillisiksi lähettäjiksi ja ohittaa turvatarkastukset. Tämän seurauksena Plummer ilmoitti nopeasti virheestä Googlelle toivoen, että se tutkisi tämän kriittisen virheen. Valitettavasti Google sulki raportin väittäen, että se oli”tarkoitettu toiminta”. Tästä vastauksesta turhautuneena Plummer kertoi havainnoistaan Twitterissä, missä raportti sai nopeasti huomiota ja aiheutti laajaa tuskaa ja huolta.
“Gmailissa on varmasti virhe, jota huijarit käyttävät hyväkseen. pois päältä, joten lähetin virheen, jonka Google sulki laiskasti sanomalla”ei korjaa – tarkoitettu käyttäytyminen”. Miten huijari, joka esiintyy UPS:nä niin vakuuttavasti, on tarkoitettu”, Plummer sanoi Twitterissä.
Laajalle leviävät huolenaiheet
Vaikka Google ei ole vielä antanut lausuntoa Plummerin raportista, sosiaalisen median kollektiivinen meteli saattaa saada yrityksen arvioimaan uudelleen ongelman alkuperäisen hylkäämisen. Tämä johtuu siitä, että käyttäjinä luotamme näihin vahvistusjärjestelmiin verkkovuorovaikutuksen turvaamiseksi, ja kyky erottaa aidot ja vilpilliset lähteet on ratkaisevan tärkeää henkilötietojemme suojaamisessa ja huijausten välttämisessä.
Kuitenkin, kunnes Google julkaisee korjauksen, käyttäjien tulee pysyä valppaina ja ryhtyä lisätoimenpiteisiin suojautuakseen mahdollisilta huijauksilta. Näitä toimenpiteitä ovat varovaisuus sähköposteissa, joissa pyydetään arkaluontoisia tietoja, epäiltyjen linkkien avaamisesta pidättäytyminen, sähköpostiosoitteiden tarkistaminen ja 2FA:n käyttöönotto.