Recentemente, o Gmail, serviço de e-mail do Google, introduziu uma nova funcionalidade que permite que empresas adotem um selo de verificação em seus e-mails enviados.
Essa medida visava dificultar práticas fraudulentas de golpistas que se passam por empresas legítimas para realizar ataques de phishing. No entanto, parece que os golpistas da internet encontraram uma maneira de contornar esse novo recurso e usar a novidade em benefício próprio.
A autenticação no Gmail
O Gmail oferece às empresas e organizações diversas opções para autenticação e verificação de suas identidades. Entre elas, destacam-se o BIMI (Brand Indicators for Message Identification), o VMC (Verified Mark Certificate) e o DMARC (Domain-based Message Authentication, Reporting, and Conformance). De modo geral, essas ferramentas têm o propósito de garantir que as mensagens enviadas por uma empresa sejam autênticas e confiáveis.
O efeito contrário ao desejado
Ao implementar o recurso de selo de verificação, o Google almejava aumentar a segurança e evitar que agentes mal-intencionados se passassem por empresas para cometer golpes, especialmente de phishing. Entretanto, o que se constatou foi exatamente o oposto.
O engenheiro de segurança cibernética, Chris Plummer, identificou uma falha no sistema de verificação, o que possibilitou que criminosos contornassem as proteções do Google. Assim, eles conseguiram fazer com que suas mensagens se assemelhassem muito às comunicações legítimas de empresas confiáveis.
A falha é ignorada pelo Google?
Preocupado com a gravidade da descoberta, Chris Plummer prontamente entrou em contato com o Google para relatar o bug encontrado. No entanto, sua denúncia não foi tratada com a devida atenção.
O Google inicialmente alegou que o comportamento observado era intencional, o que naturalmente frustrou o engenheiro. Desse modo, diante da falta de resposta adequada, ele decidiu expor sua descoberta no Twitter, o que resultou em uma viralização do problema.
O reconhecimento do erro
Contudo, após a repercussão negativa nas redes sociais, o Google finalmente reconsiderou a denúncia de Plummer. Visto que a empresa admitiu que a vulnerabilidade não parecia ser um comportamento intencional, e reconheceu que a falha precisava ser investigada e corrigida. Desse modo, o time de segurança da gigante de tecnologia assumiu o compromisso de avaliar e resolver o bug.
Proteja-se contra golpes de phishing
Enquanto o Google trabalha na resolução do problema, é importante que os usuários estejam atentos a possíveis golpes de phishing. De modo geral, essas fraudes geralmente são disseminadas por e-mail, e é essencial adotar medidas preventivas para se proteger. Saiba o que fazer!
- Verificar cuidadosamente o remetente e o endereço de e-mail antes de clicar em links ou fornecer informações pessoais.
- Evitar abrir anexos ou links suspeitos enviados por fontes desconhecidas.
- Desconfiar de e-mails que solicitam informações confidenciais ou financeiras de forma urgente.
- Verificar se o e-mail contém erros de ortografia ou gramática, pois isso pode ser um indicativo de fraude.
- Manter o software de segurança e antivírus atualizado para melhorar a detecção de e-mails maliciosos.
Mantenha-se informado
Esteja atualizado sobre os tipos mais recentes de golpes de phishing e as táticas utilizadas pelos golpistas. Fique atento a notícias e alertas de segurança cibernética para se manter informado sobre as ameaças em constante evolução.
Além disso, se receber um e-mail, mensagem de texto ou qualquer outro tipo de comunicação inesperada, especialmente se solicitar informações confidenciais ou financeiras, trate-a com cautela.
Dessa forma, verifique cuidadosamente os detalhes e entre em contato diretamente com a suposta fonte, usando informações de contato oficiais, para verificar a legitimidade da solicitação.
Por fim, evite clicar em links enviados por e-mails desconhecidos ou que pareçam suspeitos. Antes de clicar em qualquer link, passe o cursor do mouse sobre ele (sem clicar) para visualizar o URL real. A segurança cibernética é uma responsabilidade compartilhada entre os usuários e as empresas que oferecem serviços online.