.
O Google diz que corrigiu uma falha que permitia que um golpista se passasse pelo serviço de entrega UPS no Gmail, depois que o gigante da web que acumulava dados rotulou o e-mail falso como autêntico.
O problema surgiu de um problema em um programa de autenticação de e-mail chamado Brand Indicators for Message Identification (BIMI), que visa proteger os usuários de e-mail contra falsificação de marca e ataques de phishing que afirmam ser de uma organização confiável. O BIMI também protege os remetentes de danos à reputação se seus nomes e logotipos forem usados em um ataque cibernético.
BIMI, e provedores de e-mail que o suportam – incluindo o Google – faça isso por meio dos padrões de autenticação de e-mail: Estrutura de política do remetente (SPF), Autenticação, relatórios e conformidade de mensagens baseadas em domínio (DMARC)e Correio identificado por DomainKeys (DKIM). O BIMI exige que as marcas participantes adotem o DMARC junto com o SPF ou o DKIM.
Google começou suporte BIMI em julho de 2021, e implementou os cheques azuis para remetentes verificados mês passado.
Até esta semana, o Google também usava os requisitos do BIMI para remetentes: alinhamento DMARC com SPF ou DKIM.
Desde então, mudou para DKIM após o arquiteto de segurança Chris Plummer encontrado um bug no SPF no final de maio. Ele descobriu que um e-mail supostamente de um remetente verificado da UPS – completo com o logotipo da gigante logística e o cheque azul verificado pelo Google – era uma farsa. O problema era um vulnerabilidade no SPF que atualizaram e-mails não autenticados, tornando-os autênticos.
“Esse problema decorre de uma vulnerabilidade de segurança de terceiros, permitindo que os malfeitores pareçam mais confiáveis do que são”, disse um porta-voz do Google. Strong The One. “Para manter os usuários seguros, estamos exigindo que os remetentes usem o padrão de autenticação DomainKeys Identified Mail (DKIM) mais robusto para se qualificarem para o status de indicadores de marca para identificação de mensagens (marca de seleção azul).
Entrega ruim de todos os lados
Plummer enviou um relatório de bug ao Google, alertando-o sobre o problema e compartilhou o relatório com Strong The One. Aqui está um pouco do que ele transmitiu:
O e-mail falso, que conseguiu induzir o Google a pensar que se originou da UPS, não incluía uma carga maliciosa, disse Plummer Strong The One. “Mas se tivesse, essa chamada seria altamente considerada genuína por um usuário final.”
Inicialmente, o Google ignorou seu relatório, com uma mensagem de “não corrigirá o comportamento pretendido”, disse Plummer. No entanto, o aumento da atenção da mídia em torno da falha parece ter influenciado alguns corações e mentes sobre o assunto.
“O que provavelmente nunca saberemos é quantas vezes foi aproveitado e usado de forma maliciosa, quantas outras marcas foram falsificadas com sucesso e quantos usuários foram vítimas disso”, disse Plummer.
O BIMI, por sua vez, abordou o problema em uma postagem de blog na quarta-feira e também culpou o bug por um “antigo e conhecido problema com SPFum que antecedeu o BIMI e até mesmo o DMARC.”
O programa de autenticação de marca “está funcionando exatamente como projetado”, acrescentou. E este incidente recente do Gmail destaca “casos extremos de longa data” que ainda precisam ser corrigidos.
“Esperamos que os benefícios do BIMI e os componentes de implementação necessários criem mais incentivos para os provedores de e-mail que participam do BIMI (e aqueles que definem e implementam os padrões) para resolver essas lacunas de longa data nos protocolos de autenticação”, disse o blog BIMI. ®
.
