Không có gì bí mật khi trong vài năm qua, Google đã tích cực làm việc để ngăn chặn các hành vi lừa đảo qua email. Và để phù hợp với những nỗ lực này, công ty gần đây đã giới thiệu một tính năng mới trong Gmail có tên là Chỉ số thương hiệu để nhận dạng thư (BIMI), cho phép các công ty xác minh danh tính của họ và thêm dấu kiểm màu xanh lam, giúp người dùng có thêm một lớp bảo vệ chống lại những kẻ lừa đảo. Tuy nhiên, có vẻ như các tác nhân đe dọa đã tìm ra cách khai thác hệ thống này, gây ra một số lo ngại nghiêm trọng.
Vấn đề lần đầu tiên được phát hiện bởi kỹ sư an ninh mạng Chris Plummer, người đã phát hiện ra rằng những kẻ đe dọa có thể đánh lừa hệ thống xác thực của Gmail, cho phép chúng giả dạng người gửi hợp pháp và bỏ qua kiểm tra bảo mật. Do đó, Plummer đã nhanh chóng báo cáo lỗi này cho Google với hy vọng Google sẽ điều tra lỗ hổng nghiêm trọng này. Thật không may, Google đã đóng báo cáo, cho rằng đó là “hành vi có chủ ý”. Thất vọng với phản hồi này, Plummer đã lên Twitter để chia sẻ những phát hiện của mình, ở đó báo cáo nhanh chóng thu hút được sự chú ý và gây ra sự lo lắng và đau khổ trên diện rộng.
“Chắc chắn có một lỗi trong Gmail đang bị những kẻ lừa đảo lợi dụng để lôi ra điều này tắt, vì vậy tôi đã gửi một lỗi mà Google đã đóng một cách uể oải là “không khắc phục được – hành vi có chủ ý”. Làm thế nào mà một kẻ lừa đảo mạo danh UPS theo một cách thuyết phục như vậy lại có ý định như vậy,” Plummer viết trên Twitter.
Mối lo ngại lan rộng
Mặc dù Google vẫn chưa đưa ra tuyên bố nào liên quan đến báo cáo của Plummer, nhưng sự phản đối tập thể trên mạng xã hội có thể khiến công ty đánh giá lại việc bác bỏ vấn đề ban đầu. Điều này là do, với tư cách là người dùng, chúng tôi dựa vào các hệ thống xác minh này để bảo vệ các tương tác trực tuyến của mình và khả năng phân biệt giữa các nguồn xác thực và lừa đảo là rất quan trọng trong việc bảo vệ thông tin cá nhân của chúng tôi và tránh lừa đảo.
Tuy nhiên, cho đến khi Google phát hành bản sửa lỗi, người dùng nên cảnh giác và thực hiện các biện pháp bổ sung để tự bảo vệ mình khỏi những trò gian lận tiềm ẩn. Các biện pháp này bao gồm thận trọng với các email yêu cầu thông tin nhạy cảm, không mở các liên kết đáng ngờ, kiểm tra kỹ địa chỉ email và bật 2FA.
