Google ha introdotto in Gmail la spunta blu di verifica per aiutare ad evitare le email fraudolente ma i truffatori hanno trovato il modo di aggirare l’ostacolo.
Gmail di Google ha visto recentemente l’introduzione di una nuova funzione che utilizza la tecnologia BIMI (Brand Indicators for Message Identification) per verificare l’identità dei mittenti di e-mail. Quando si riceve un’e-mail da un mittente verificato, nella casella di posta appare un segno di spunta blu accanto al nome dell’azienda. Lo scopo era rende più semplice per i destinatari distinguere i messaggi autentici da quelli fraudolenti, un altro passo nella lotta contro lo spam e le e-mail fraudolente per gli attacchi di phishing e le truffe. Sembra però che la cosa si sia in qualche modo ritorta contro Google, poiché i truffatori sembrano aver già trovato un modo per aggirare l’ostacolo e far apparire i messaggi come provenienti da una fonte legittima.
La questione è stata sollevata da Chris Plummer, un ingegnere di sicurezza informatica, che ha scoperto che i truffatori hanno appunto trovato un modo per ingannare i sistemi di autenticazione di Gmail, consentendo loro di apparire come fonti legittime e di aggirare i controlli di sicurezza. inizialmente però, fatta la segnalazione a Google, l’ingegnere è rimasto sorpreso per l’indifferenza dimostrata dinanzi alla sua scoperta. La sua segnalazione di bug è stata infatti liquidata come “comportamento previsto”. Deluso dalla risposta, Plummer si è rivolto ai social media postando un tweet nel quale esprimeva le sue frustrazioni, scatenando una protesta significativa da parte degli utenti interessati.
Questo ha “svegliato” Google. Le rivelazioni di Plummer su Twitter hanno infatti mosso gli animi di utenti ed esperti, evidenziando la gravità del problema e la necessità di intervenire. Rendendosi finalmente conto delle potenziali conseguenze dello sfruttamento del sistema da parte dei truffatori, Google deve ora affrontare la vulnerabilità e risolverla.
Google cercherà di risolvere il problema ora che ha ottenuto un certo risalto grazie ai social, ma avrebbe dovuto tener conto della segnalazione prima che ciò che accadesse, giusto per non rendere vani gli sforzi messi in atto per salvaguardare la sicurezza degli utenti.
