Исследователь кибербезопасности Крис Пламмер обнаружил уязвимость в новой системе синих галочек (Brand Indicators for Message Identification, BIMI — индикаторы бренда для идентификации сообщений) в почтовом сервисе Gmail. В Google сначала закрыли тикет по этому инциденту, назвав его предполагаемым поведением, но потом переоткрыли заявку и дали ей высший приоритет из-за осознания уровня серьёзности ситуации после публикации информации о проблеме в соцсетях.
В начале мая Google представила синие галочки верификации для компаний в Gmail. Эта опция должна помочь 1,8 млрд пользователей определить достоверность источника, который присылает письма, путём проверки корпоративного отправителя через систему безопасности Google.
Пламмер после введения механизма BIMI начал получать фейковые письма якобы от службы доставки UPS с логотипом компании. Мошенники каким-то образом смогли обойти защитные механизмы Google.
Исследователь предположил, что в Gmail есть баг, который и стали активно использовать спамеры для распространения поддельных писем от компаний под видом официальных с подтверждением от Google. Он обратился в техподдержку, описал проблему и попросил разобраться. В техподдержке компании зарегистрировали заявку и почти сразу её закрыли. В описании тикета было указано, что всё работает штатно и как задумано.
После этого Пламмер получил ещё несколько подобных писем от мошенников. Он выяснил, что злоумышленники пересылают письмо через несколько доменов, прежде чем атаковать свою цель для обмана платформы BIMI. Например, электронное письмо могло быть перенаправлено через одну из соцсетей на британский IP-адрес получателя с использованием сервиса Microsoft 365. После этого у отправителя появлялась галочка верификации от Google при отображении в Gmail.
Пламмер не согласился с Google, что это является предполагаемым поведением системы. Он распространил данные о проблеме в соцсетях, чтобы инженеры Google обратили внимание на ситуацию.
После широкой огласки и повторного изучения проблемы в Google решили переоткрыть заявку исследователя с высоким приоритетом, присвоив инциденту наивысший уровень опасности.
Профильные эксперты пояснили, что независимо от новой системы безопасности или галочек с верификацией пользователи всегда должны проверять электронные письма и отправителей. В текущем случае галочка верификации и была, но адрес электронной почты не выглядел корректным, что сразу должно было вызвать беспокойство и недоверие у получателя. В этом случае лучше не полагаться на то, что Google защитит от мошенников, так как подобные ошибки могут происходить и случаются в разных компаниях и сервисах.
