Accueil Google Les coches bleues Gmail déjà abusées par les escrocs

Les coches bleues Gmail déjà abusées par les escrocs

Par

septembre 10, 2023

Il y a moins d’un mois, Google a lancé un nouveau système de vérification par coche bleue pour Gmail afin d’aider à prévenir les e-mails frauduleux, et les escrocs ont déjà compris comment abuser du système.

Gmail a lancé pour la première fois ses coches bleues le mois dernier, avec une fonctionnalité permettant aux entreprises de vérifier leurs e-mails marketing et autres messages afin de rendre plus évident quels e-mails sont « officiels ». C’est une excellente idée, en théorie, mais comme cela a été souligné, cela ne fonctionne pas vraiment très bien.

Chris Plummer, architecte senior en cybersécurité pour Santé Dartmouths’est rendu sur Twitter la semaine dernière pour révéler un problème avec les coches bleues de Gmail qui montre qu’il est possible de falsifier ces badges.

Le système de Gmail utilise des indicateurs de marque pour l’identification des messages (BIMI) ainsi que DMARC (Domain-based Message Authentication, Reporting, and Conformance) et un VMC (Verified Mark Certificate) délivré par une autorité de certification, telle qu’Entrust ou DigiCertto, pour vérifier à la fois le logo et le domaine attaché.

Plummer n’entre pas dans les détails sur la manière dont les fraudeurs ont contourné le système, mais propose un exemple d’e-mail – accompagné de des informations plus détaillées – qui utilisait le logo UPS avec un domaine incluant « ups.com » pour simuler une coche sur un e-mail qui clairement n’était pas officiel.

Frustrant, un rapport de bug de Plummer a été initialement marqué comme « comportement prévu » par Google, mais la société plus tard, j’ai inversé cette position et a rouvert le problème. Cela laisse la porte ouverte à une solution, mais aucun calendrier à ce sujet.

Il y a très certainement un bug dans Gmail exploité par des fraudeurs pour y parvenir, j’ai donc soumis un bug qui @Google fermé paresseusement comme « ne résoudra pas – comportement prévu ». Comment un escroc se fait-il passer pour @UPS d’une manière si convaincante « prévue ». pic.twitter.com/soMq7KraHm

– prune (@chrisplummer) 1 juin 2023

Un système comme celui-ci présente des avantages évidents, mais les fraudeurs sont tenaces. Il n’est pas surprenant qu’une faille ait été trouvée.

Dans une déclaration fournie peu de temps après la publication initiale de cet article, Google explique en outre que ce problème provient d’une vulnérabilité tierce et qu’en réponse, Google exigera des expéditeurs qu’ils utilisent le DomainKeys Identified Mail (DKIM). norme d’authentification pour bénéficier des coches bleues. Cette nouvelle exigence sera déployée d’ici la fin de cette semaine.

Ce problème provient d’une vulnérabilité de sécurité tierce permettant aux mauvais acteurs de paraître plus dignes de confiance qu’ils ne le sont. Pour assurer la sécurité des utilisateurs, nous demandons aux expéditeurs d’utiliser la norme d’authentification DomainKeys Identified Mail (DKIM) plus robuste pour se qualifier pour le statut d’indicateurs de marque pour l’identification des messages (coche bleue).