ไม่ว่าคุณจะใช้ Gmail ที่ไหน หากคุณใช้แอปอีเมลหรือเว็บไซต์ของ Google ทวีตจากวิศวกรความปลอดภัยทางไซเบอร์ Chris Plummer (ผ่าน Forbes) ควรทำหน้าที่เป็นการแจ้งเตือนและการโทรปลุก ทุกอย่างเริ่มต้นด้วยระบบเครื่องหมายถูกที่ Google เปิดตัวเมื่อเดือนที่แล้ว ออกแบบมาเพื่อยืนยันอีเมลที่คาดว่าจะส่งโดยบริษัทและองค์กรที่ถูกต้องตามกฎหมาย อีเมลในกล่องจดหมาย Gmail ของคุณที่มีเครื่องหมายถูกสีน้ำเงินควรระบุว่าคุณสามารถเปิด missive ได้อย่างปลอดภัยโดยไม่ต้องกังวลว่าจะถูกหลอกลวง สแปม หรือถูกแฮ็ก
ต้องขอบคุณบั๊กที่ทำให้สแกมเมอร์สามารถให้ Gmail ยืนยันอีเมลปลอมของตนโดยแสดงเครื่องหมายถูกสีน้ำเงิน
Plummer ดังกล่าวได้ค้นพบวิธีที่ผู้ไม่หวังดีจะมีเครื่องหมายถูกสีน้ำเงินเพื่อ”ยืนยัน”ฟิชชิ่งของตน จีเมล Plummer ส่งรายงานข้อบกพร่องกับ Google หลังจากพบผู้หลอกลวงส่งอีเมลที่ยืนยันแล้วซึ่งแอบอ้างเป็น UPS อีเมลยังมีไอคอนรูปโล่ UPS อันเป็นเอกลักษณ์อีกด้วย ในตอนแรก Google ปฏิเสธข้อเสนอของ Plummer โดยบอกว่าจะไม่แก้ไขข้อบกพร่องเนื่องจาก”นี่เป็นพฤติกรรมที่ตั้งใจไว้”ดังที่พลัมเมอร์ถามในทวีตของเขาว่า”สแกมเมอร์ปลอมตัวเป็น @UPS ในลักษณะที่’ตั้งใจ’ได้อย่างไร?
แม้จะมีเครื่องหมายถูกสีน้ำเงินและไอคอนรูปโล่ของ UPS แต่ Gmail นี้เป็นการหลอกลวงและไม่ได้มาจาก UPS
แต่ Google ก็รีบทำหน้าตาเฉยและส่ง Plummer ดังต่อไปนี้”หลังจากเข้าใกล้ ดูสิ เราตระหนักว่าสิ่งนี้ดูเหมือนจะไม่ใช่ช่องโหว่ SPF ทั่วไป ดังนั้นเราจึงเปิดสิ่งนี้อีกครั้งและทีมที่เกี่ยวข้องกำลังตรวจสอบสิ่งที่เกิดขึ้นอย่างใกล้ชิด เราขออภัยอีกครั้งสำหรับความสับสน และเราเข้าใจว่าการตอบกลับครั้งแรกของเราอาจทำให้คุณหงุดหงิด ขอบคุณมากที่กดให้เราตรวจสอบอย่างละเอียดยิ่งขึ้น! เราจะแจ้งให้คุณทราบเกี่ยวกับการประเมินและทิศทางของปัญหานี้ ขอแสดงความนับถือ ทีมความปลอดภัยของ Google”
ขณะนี้ Google ได้แก้ไขข้อบกพร่องนี้เป็น P1 ซึ่งหมายความว่าเป็นการแก้ไขที่มีความสำคัญสูงสุด แต่ผู้ใช้ Gmail จะต้องมองหา Gmail ที่ผ่านการยืนยันที่ไม่ได้มาจาก บริษัทที่อ้างว่ามาจาก เช่นเคย อย่าคลิกลิงก์ใด ๆ และอย่าให้ข้อมูลใด ๆ เช่น หมายเลขประกันสังคม หมายเลขบัตรเครดิต วันหมดอายุ และรหัสความปลอดภัยไปโดยเด็ดขาด
การแก้ไขข้อบกพร่องของ Gmail นี้ ตอนนี้เป็นงานที่มีลำดับความสำคัญสูงสุด P1 สำหรับ Google
หากคุณได้รับสิ่งที่ดูเหมือนเป็นอีเมลสำคัญในกล่องจดหมาย Gmail ของคุณและได้รับการยืนยันด้วยเครื่องหมายถูกสีน้ำเงิน ให้โทรหาบริษัทโดยใช้หมายเลขโทรศัพท์ที่คุณได้รับจาก Google อย่าโทรไปที่หมายเลขโทรศัพท์ที่เขียนในจดหมาย เนื่องจากตอนนี้ Google เป็นการแก้ไขที่มีความสำคัญสูงสำหรับ Google แล้ว หวังว่าข้อบกพร่องจะถูกกำจัดก่อนที่ใครจะถูกฉ้อโกง และโอกาสที่ดีที่อย่างน้อยผู้ใช้บางคนจะ เสียเงินไปกับกลโกงนี้เนื่องจากมีผู้ใช้ Gmail ที่ใช้งานอยู่กว่า 1.8 พันล้านคนในปีนี้
นี่คือวิธีที่ผู้ไม่หวังดีสามารถใช้ข้อบกพร่องนี้เพื่อล้างบัญชีธนาคารของคุณ
มาดูกันดีกว่าว่าสิ่งนี้จะทำให้คุณผิดหวังได้อย่างไร สมมติว่าคุณได้รับอีเมลจาก UPS ที่มีเครื่องหมายถูกสีน้ำเงินและแจ้งว่าคุณกำลังจะได้รับพัสดุ จดหมายอาจระบุว่า UPS ต้องการข้อมูลบางอย่างเพื่อยืนยันตัวตนของคุณ คุณตกลงที่จะตอบกลับพร้อมกับระบุข้อมูลส่วนบุคคลบางอย่างที่”UPS”ระบุว่าจำเป็นต้องใช้ในการจัดส่งพัสดุของคุณ คุณจึงส่งวันเกิด หมายเลขประกันสังคม และบัญชีธนาคารและ/หรือข้อมูลบัตรเครดิตของคุณไปให้พวกเขา คุณสามารถจินตนาการได้ว่าผู้ที่มีเจตนาร้ายจะทำอะไรกับข้อมูลทั้งหมดนั้นได้บ้าง
บริษัทส่วนใหญ่ในปัจจุบันจะไม่ส่งข้อความหรืออีเมลพร้อมลิงก์ถึงคุณ ส่วนใหญ่จะไม่ขอข้อมูลใด ๆ ที่เรากล่าวข้างต้น และแม้ว่า Google จะกำจัดบั๊กนี้แล้ว เครื่องหมายถูกสีน้ำเงินก็ไม่ได้ทำให้คุณเสียมารยาทสำหรับการเปิดเผยข้อมูลส่วนบุคคลที่อาจทำให้คุณเสียเงินที่หามาอย่างยากลำบาก และความเร็วที่สแกมเมอร์สามารถใช้ข้อมูลส่วนบุคคลของคุณและเรียกใช้บัตรเครดิตของคุณ ล้างข้อมูลในบัญชีธนาคารของคุณ จี้บัญชีไร้สายของคุณ และล็อคคุณออกจากระบบเป็นสิ่งที่เหลือเชื่อ
สิ่งที่ดีที่สุดที่ควรทำคือการรักษา ระมัดระวังและระวังเครื่องหมายถูกสีน้ำเงินหรือไม่มีเครื่องหมายถูกสีน้ำเงิน!
