Recentemente, o Google implementou um novo recurso ao Gmail que permite que empresas adicionem um selo de verificação aos e-mails enviados. Sabendo disso, golpistas da internet já encontraram um jeito de utilizar a novidade para cometer fraudes.

O que acontece

  • O Gmail oferece às empresas e organizações a capacidade de verificar sua identidade com diferentes sistemas. É o caso do BIMI (indicadores de marca para identificação de mensagens), VMC (certificado de marca verificada) e DMARC (autenticação, relatórios e conformidade de mensagens baseadas em domínio). 
  • Ao adicionar o recurso, o Google esperava dificultar práticas de agentes mal-intencionados que se passam por empresas para cometer golpes de phishing, por exemplo.
  • Contudo, quando uma empresa pula os obstáculos necessários para provar que é quem diz ser, o Gmail começa a exibir o logotipo da empresa, bem como a marca de seleção azul ao lado do nome.

O efeito do recurso, portanto, foi o contrário do desejado — conforme relatou o engenheiro de segurança cibernética que descobriu tudo isso.

publicidade

Segundo explicou Chris Plummer, criminosos encontraram uma forma de contornar as proteções do Google e fazer com que as mensagens enviadas no Gmail fiquem muito semelhantes ao de empresas legítimas. A prática é possível através de um bug no sistema de verificação.

Leia mais:

publicidade

Com a descoberta, Plummer entrou em contato com o Google para informar sobre a falha.

Porém, segundo ele, a empresa não deu a devida atenção à denúncia, informando que o bug apresenta um “comportamento intencional”. A resposta, obviamente, não agradou o engenheiro. Então, ele publicou sua descoberta no Twitter.

publicidade

Após a publicação viralizar, como relata Plummer, o Google reavaliou a denúncia e disse que a vulnerabilidade de fato não parecia “genérica”.

“Pedimos desculpas pela confusão e entendemos que nossa resposta inicial pode ter sido frustrante, muito obrigado por nos pressionar para olharmos isso mais de perto!”

publicidade

A equipe de segurança da big tech afirmou que o bug está sendo avaliado. Até o momento da publicação dessa matéria, o engenheiro não publicou uma resolução do caso.

Fique atento aos golpes de phishing

Enquanto o problema não está resolvido, você pode conferir algumas dicas de como se proteger e como identificar golpes de phishing, que geralmente são disseminados por e-mail, nesse tutorial feito pelo Olhar Digital.

Com informações de Android Police.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!