Nie jest tajemnicą, że w ciągu ostatnich kilku lat Google aktywnie pracowało nad zapobieganiem oszustwom związanym z phishingiem. Zgodnie z tymi wysiłkami firma niedawno wprowadziła nową funkcję w Gmailu o nazwie Brand Indicators for Message Identification (BIMI), która umożliwia firmom weryfikację tożsamości i dodanie niebieskiego znacznika wyboru, zapewniając użytkownikom dodatkową warstwę ochrony przed oszustami. Wygląda jednak na to, że cyberprzestępcy znaleźli już sposób na wykorzystanie tego systemu, co budzi poważne obawy.
Najpierw pojawił się problem odkryty przez inżyniera ds. cyberbezpieczeństwa Chrisa Plummera, który odkrył, że cyberprzestępcy byli w stanie oszukać systemy uwierzytelniania Gmaila, co pozwoliło im udawać legalnych nadawców i ominąć kontrole bezpieczeństwa. W rezultacie Plummer szybko zgłosił błąd do Google w nadziei, że zbada tę krytyczną lukę. Niestety, Google zamknął raport, twierdząc, że było to „zamierzone zachowanie”. Sfrustrowany tą odpowiedzią Plummer udał się na Twittera, aby podzielić się swoimi odkryciami, gdzie raport szybko zyskał zainteresowanie i wywołał powszechny niepokój i obawy.
„Z pewnością istnieje błąd w Gmailu wykorzystywany przez oszustów do pobierania tego wyłączony, więc zgłosiłem błąd, który Google leniwie zamknął jako „nie naprawi – zamierzone zachowanie”. Jaki jest cel oszusta podszywającego się pod UPS w tak przekonujący sposób” – powiedział Plummer na Twitterze.
Powszechne obawy
Chociaż Google nie wydało jeszcze oświadczenia w sprawie raportu Plummera, zbiorowe oburzenie w mediach społecznościowych może skłonić firmę do ponownej oceny jej początkowego odrzucenia problemu. Wynika to z faktu, że jako użytkownicy polegamy na tych systemach weryfikacji, aby chronić nasze interakcje online, a umiejętność rozróżniania prawdziwych i fałszywych źródeł ma kluczowe znaczenie dla ochrony naszych danych osobowych i unikania oszustw.
Jednak do czasu Google wydaje poprawkę, użytkownicy powinni zachować czujność i podjąć dodatkowe środki w celu ochrony przed potencjalnymi oszustwami. Środki te obejmują ostrożność w stosunku do e-maili z prośbą o podanie poufnych informacji, powstrzymywanie się od otwierania podejrzanych linków, podwójne sprawdzanie adresów e-mail i włączanie 2FA.
