Google ha confirmado que se han enviado mensajes de seguridad falsos a los usuarios de Gmail
5/6 actualización a continuación. Esta publicación se publicó originalmente el 3 de junio.
La seguridad de Gmail siempre ha sido uno de sus mayores puntos de venta, pero ahora los piratas informáticos están utilizando activamente una de las nuevas características de seguridad más populares para engañar a los usuarios.
El nuevo sistema de verificación del remitente con marca de verificación azul de Gmail: también debería funcionar
presentado el mes pasado, Sistema de marca de verificación de Gmail Destaca las empresas y organizaciones verificadas para los usuarios con una marca de verificación azul. La idea es ayudar a los usuarios a distinguir qué correos electrónicos son legítimos y cuáles han sido enviados por suplantadores de phishing. Desafortunadamente, los estafadores engañaron al sistema.
Los estafadores piratean el nuevo sistema de Gmail para verificar el remitente
Supervisado por un ingeniero de seguridad cibernética chris plummerLos estafadores han encontrado una manera de convencer a Gmail de que sus marcas comerciales falsas son legítimas. Y al hacerlo, utilizando la confianza que se supone que el sistema de marca de verificación infunde a los usuarios de Gmail.
«El remitente ha encontrado una forma de falsificar el sello de aprobación aprobado de Gmail, en el que los usuarios finales confiarán», explica Plummer. «Este mensaje pasó de la cuenta de Facebook, al bloque de red del Reino Unido, a O365, a mí. Nada de esto es legítimo».
Plummer informa que Google inicialmente descartó su descubrimiento como «comportamiento intencional» antes de que sus tweets al respecto se volvieran virales y la compañía reconoció el error. En una declaración a Plummer, Google escribió:
«Después de observar más de cerca, nos dimos cuenta de que esto en realidad no parecía una debilidad general en el SPF. Así que estamos reabriendo esto, y el equipo apropiado está analizando más de cerca lo que está sucediendo».
Nos disculpamos nuevamente por la confusión y entendemos que nuestra respuesta inicial puede haber sido frustrante, ¡muchas gracias por presionarnos para que analicemos esto más de cerca!
Lo mantendremos informado con nuestra evaluación y la dirección que toma este problema.
Saludos, equipo de seguridad de Google»
fontanero Reflejos Google ahora ha enumerado el error como una solución «P1» (alta prioridad), que actualmente está «en progreso».
El gran mérito es de Plummer, no solo por descubrirlo, sino por todo lo que hizo para que Google reconociera el problema. Sin embargo, hasta que Google lo arregle, el sistema de verificación de marca de verificación de Gmail permanecerá dañado y los piratas informáticos y los spammers lo usarán para engañarlo y hacerle exactamente lo que se suponía que estaba combatiendo. Estar atentos.
Actualización 05/06: Los investigadores de seguridad están comenzando a comprender cómo se engaña al sistema de verificación de marca de verificación de Gmail y cómo se aplica a otros servicios de correo electrónico. en entrada en el blogEl depurador Jonathan Rudenberg reveló que pudo replicar el truco en Gmail, afirmando:
Gmail implementación BIMI solo requiere FPS hacer coincidir firma DKIM Puede ser de cualquier campo. Esto significa que cualquier servidor de correo que esté suscrito o mal configurado en los registros SPF de un dominio habilitado para BIMI podría estar destinado a enviar mensajes falsificados utilizando el manejo completo de BIMI de Gmail…
BIMI es peor que el statu quo, porque permite un phishing superfuerte basado en una sola configuración incorrecta en un paquete de correo electrónico muy complejo y frágil”.
Rudenberg también publicó los resultados de las implementaciones de BIMI en otros importantes servicios de correo electrónico, diciendo:
- iCloud: Verifica correctamente que DKIM coincida con el dominio de
- Yahoo: solo trata BIMI con mensajes masivos de alta reputación
- Fastmail: Pobre pero también es compatible con Gravatar y utiliza el mismo tratamiento para ambos, por lo que el efecto es mínimo.
- Apple Mail + Fastmail: vulnerable a tratamientos peligrosos
Sí, esto significa que los usuarios de Apple Mail y Fastmail también deben estar atentos, aunque no utilicen el mismo sistema de marcas de verificación que Gmail. Ha habido una respuesta muy crítica a esta vulnerabilidad por parte de la comunidad de seguridad, con preguntas sobre cómo se permitió que esto sucediera y qué tan mal se implementó el método de verificación de Gmail. Google necesita una solución lo antes posible.
___
Sigue a Gordon en Facebook
Más sobre Forbes
«Experto en Internet. Lector. Fanático de la televisión. Comunicador amistoso. Practicante de alcohol certificado. Aficionado al tocino. Explorador. Malvado adicto a los tweets».
More Stories
Nadella de Microsoft testificará en el juicio antimonopolio de Google el lunes
Advertencia: la carga inalámbrica de BMW puede romper el chip Apple Pay del iPhone 15
Los volúmenes de Amazon EBS admiten barreras de almacenamiento mediante reservas NVMe