De forma recente, a Google começou a testar uma nova funcionalidade para o Gmail, que permite a determinadas empresas apresentarem um sinal de verificação junto ao nome das mesmas – o que valida que uma mensagem de email foi enviada verdadeiramente por essa entidade.
No entanto, parece que existe uma falha no sistema que está agora a ser explorada por algumas fontes de spam. De acordo com o investigador de segurança Chris Plummer, existem fontes de spam que estão a conseguir enviar mensagens falsas de determinadas entidades, recebendo o sinal de verificado junto das caixas de entrada do Gmail.
No exemplo do investigador, este indicou que o spam fazia-se passar pela empresa de entregas UPS, sendo que a mensagem surgia na caixa de entrada dos utilizadores com o sinal de verificado próximo do nome, indicando que terá sido enviada pelo domínio e servidor correto da entidade – quando na verdade, não tinha sido.
Plummer afirma que contactou a Google sobre o problema, mas foi ignorado, tendo assim tornado o caso público.
De relembrar que este sistema de verificação valida os endereços dos remetentes através das funcionalidades BIMI (Brand Indicators for Message Identification), VMC (Verified Mark Certificate) e o DMARC (Domain-based Message Authentication, Reporting, and Conformance), que normalmente deveriam ser o suficiente para garantir que um email é enviado do domínio correto.
Em resposta ao problema, a Google veio confirmar que realmente existe uma falha no sistema, que se encontra atualmente a ser investigada – depois da mesma ter sido ignorada inicialmente, quando o investigador contactou a empresa. Apenas depois do caso ter ganho destaque nas redes sociais é que a empresa decidiu agir.
Nenhum comentário
Seja o primeiro!