У компанії Google заявили, що помилку у програмі автентифікації електронної пошти Brand Indicators for Message Identification (BIMI) виправлено після того, як з’ясувалося, що шахраї надсилають листи нібито від відомої служби доставки UPS у Gmail.
BIMI призначена для захисту користувачів електронної пошти від фальшивих листів брендів та фішингових атак. Також захищає відправників від репутаційних ризиків, пов’язаних із використанням назв і логотипів у кібератаках.
BIMI й сам Google використовують стандарти автентифікації електронної пошти Sender Policy Framework (SPF), Domain-based Message Authentication, Reporting and Conformance (DMARC) і DomainKeys Identified Mail (DKIM). BIMI за замовчуванням вимагає від брендів узгодження DMARC із SPF або DKIM.
За інформацією The Register, після того, як наприкінці травня архітектор з безпеки Кріс Пламмер виявив помилку в SPF, Google перейшов на DKIM. Проблема, яку виявив Пламмер, полягала в помилці SPF, яка надавала непідтвердженим електронним листам автентичний статус.
У коментарі для The Register Кріс Пламмер пояснив:
Я вважаю, що в Gmail є помилка, яка дає змогу шахраям обдурити Gmail, створивши в нього враження автентичності. Судячи з траєкторії заголовків електронної пошти, повідомлення було надіслано за допомогою облікового запису Facebook, а потім через інфраструктуру стороннього постачальника (fa83.windbound.org.uk, якщо вірити DNS) пройшло до O365, де воно було переслано до Gmail. За такою послідовністю кроків вкрай малоймовірно, що це повідомлення було справжнім листом компанії UPS і що бренд використовується законно.
Він зазначив, що фальшивий електронний лист, якому вдалося обдурити Google, не містив шкідливих додатків, але якби вони були, кінцевий користувач сприйняв би цей лист як справжнє повідомлення.
Спочатку компанія Google проігнорувала звіт Пламмера, але підвищена увага з боку засобів масової інформації до цієї проблеми змусила її розглянути та вирішити це питання.
«Найімовірніше, ми ніколи не дізнаємося, скільки разів скористалися цією вразливістю, скільки використовували її зловмисно, скільки інших брендів було успішно підроблено, і скільки користувачів стали жертвами», – зауважив Кріс Пламмер.
У компанії відреагували на ці слова у блозі та пояснили помилку «давно відомою проблемою з SPF, яка існувала ще до BIMI й навіть DMARC»:
«Програма аутентифікації брендів працює точно так, як було задумано. Останній же інцидент з Gmail ще раз доводить, що досі існують вразливості, які потребують виправлення».