La sicurezza di Gmail è sempre stata uno dei suoi maggiori punti di forza, ma ora una delle sue nuove funzionalità di sicurezza più importanti è stata utilizzata attivamente dagli hacker per truffare gli utenti. Introdotto il mese scorso, il sistema di segni di verifica di Gmail evidenzia aziende ed enti verificati agli utenti con un segno di spunta blu. L’idea è di aiutare gli utenti a discernere quali e-mail sono legittime e quali potrebbero essere state inviate da imitatori che eseguono truffe. Sfortunatamente, i truffatori hanno ingannato il sistema.
Individuati dall’ingegnere della sicurezza informatica Chris Plummer, alcuni truffatori digitali hanno trovato un modo per convincere Gmail che i loro falsi marchi appaiono come se fossero legittimi. In tal modo, hanno attuato frodi sfruttando la fiducia che il sistema del segno di spunta dovrebbe instillare nei confronti degli utenti di Gmail. “Il mittente ha trovato un modo per ingannare l’autorevole timbro di approvazione di @gmail, di cui gli utenti finali si fideranno”, spiega Plummer. “Questo messaggio è passato da un account Facebook, a un netblock del Regno Unito, a O365, a me. Niente di questo è legittimo”.
Plummer riferisce che Google inizialmente ha respinto la sua scoperta come “comportamento previsto” prima che i suoi tweet diventassero virali e la società ha riconosciuto l’errore. In una dichiarazione a Plummer, Google ha scritto: “Dopo aver dato un’occhiata più da vicino ci siamo resi conto che questa in effetti non sembra una vulnerabilità SPF generica. Quindi stiamo riaprendo questo e il team appropriato sta esaminando più da vicino cosa sta succedendo. Ci scusiamo ancora per la confusione e capiamo che la nostra risposta iniziale potrebbe essere stata frustrante, grazie mille per averci insistito per darci un’occhiata più da vicino! Ti terremo aggiornato con la nostra valutazione e la direzione che prende questo problema. Cordiali saluti, team di sicurezza di Google”.
Plummer sottolinea che Google ha ora elencato il difetto come una correzione “P1” (massima priorità), che è attualmente “in corso”. Immenso merito va a Plummer, non solo per la sua scoperta, ma per quanto ha fatto per far riconoscere a Google il problema. Detto questo, fino a quando Google non avrà una soluzione, il sistema di verifica del segno di spunta di Gmail rimane non funzionante e viene utilizzato da hacker e spammer per ingannarti con la cosa esatta che doveva combattere. Resta vigile.
