De forma recente, a Google começou a testar uma nova funcionalidade para o Gmail, que permite a determinadas empresas apresentarem um sinal de verificação junto ao nome das mesmas – o que valida que uma mensagem de e-mail foi enviada verdadeiramente por essa entidade.
No entanto, parece que existe uma falha no sistema que está agora a ser explorada por algumas fontes de spam. De acordo com o investigador de segurança Chris Plummer, existem fontes de spam que estão a conseguir enviar mensagens falsas de determinadas entidades, recebendo o sinal de verificado junto das caixas de entrada do Gmail.
There is most certainly a bug in Gmail being exploited by scammers to pull this off, so I submitted a bug which @google lazily closed as “won’t fix – intended behavior”. How is a scammer impersonating @UPS in such a convincing way “intended”. pic.twitter.com/soMq7KraHm
— plum (@chrisplummer) June 1, 2023
No exemplo do investigador, este indicou que o spam fazia-se passar pela empresa de entregas UPS, sendo que a mensagem surgia na caixa de entrada dos utilizadores com o sinal de verificado próximo do nome, indicando que terá sido enviada pelo domínio e servidor correto da entidade – quando, na verdade, não tinha sido.
Plummer afirma que contactou a Google sobre o problema, mas foi ignorado, tendo assim tornado o caso público.
De relembrar que este sistema de verificação valida os endereços dos remetentes através das funcionalidades BIMI (Brand Indicators for Message Identification), VMC (Verified Mark Certificate) e o DMARC (Domain-based Message Authentication, Reporting, and Conformance), que normalmente deveriam ser o suficiente para garantir que um e-mail é enviado do domínio correto.
Em resposta ao problema, a Google veio confirmar que realmente existe uma falha no sistema, que se encontra atualmente a ser investigada – depois de a mesma ter sido ignorada inicialmente, quando o investigador contactou a empresa. Apenas depois de o caso ter ganho destaque nas redes sociais é que a empresa decidiu agir.