Recentemente, o Gmail, serviço de e-mail do Google, introduziu uma nova funcionalidade que permite que empresas adotem um selo de verificação em seus e-mails enviados.
Essa medida visava dificultar práticas fraudulentas de golpistas que se passam por empresas legítimas para realizar ataques de phishing. No entanto, parece que os golpistas da internet encontraram uma maneira de contornar esse novo recurso e usar a novidade em benefício próprio.
O Gmail oferece às empresas e organizações diversas opções para autenticação e verificação de suas identidades. Entre elas, destacam-se o BIMI (Brand Indicators for Message Identification), o VMC (Verified Mark Certificate) e o DMARC (Domain-based Message Authentication, Reporting, and Conformance). De modo geral, essas ferramentas têm o propósito de garantir que as mensagens enviadas por uma empresa sejam autênticas e confiáveis.
Ao implementar o recurso de selo de verificação, o Google almejava aumentar a segurança e evitar que agentes mal-intencionados se passassem por empresas para cometer golpes, especialmente de phishing. Entretanto, o que se constatou foi exatamente o oposto.
O engenheiro de segurança cibernética, Chris Plummer, identificou uma falha no sistema de verificação, o que possibilitou que criminosos contornassem as proteções do Google. Assim, eles conseguiram fazer com que suas mensagens se assemelhassem muito às comunicações legítimas de empresas confiáveis.
Preocupado com a gravidade da descoberta, Chris Plummer prontamente entrou em contato com o Google para relatar o bug encontrado. No entanto, sua denúncia não foi tratada com a devida atenção.
O Google inicialmente alegou que o comportamento observado era intencional, o que naturalmente frustrou o engenheiro. Desse modo, diante da falta de resposta adequada, ele decidiu expor sua descoberta no Twitter, o que resultou em uma viralização do problema.
Contudo, após a repercussão negativa nas redes sociais, o Google finalmente reconsiderou a denúncia de Plummer. Visto que a empresa admitiu que a vulnerabilidade não parecia ser um comportamento intencional, e reconheceu que a falha precisava ser investigada e corrigida. Desse modo, o time de segurança da gigante de tecnologia assumiu o compromisso de avaliar e resolver o bug.
Enquanto o Google trabalha na resolução do problema, é importante que os usuários estejam atentos a possíveis golpes de phishing. De modo geral, essas fraudes geralmente são disseminadas por e-mail, e é essencial adotar medidas preventivas para se proteger. Saiba o que fazer!
Esteja atualizado sobre os tipos mais recentes de golpes de phishing e as táticas utilizadas pelos golpistas. Fique atento a notícias e alertas de segurança cibernética para se manter informado sobre as ameaças em constante evolução.
Além disso, se receber um e-mail, mensagem de texto ou qualquer outro tipo de comunicação inesperada, especialmente se solicitar informações confidenciais ou financeiras, trate-a com cautela.
Dessa forma, verifique cuidadosamente os detalhes e entre em contato diretamente com a suposta fonte, usando informações de contato oficiais, para verificar a legitimidade da solicitação.
Por fim, evite clicar em links enviados por e-mails desconhecidos ou que pareçam suspeitos. Antes de clicar em qualquer link, passe o cursor do mouse sobre ele (sem clicar) para visualizar o URL real. A segurança cibernética é uma responsabilidade compartilhada entre os usuários e as empresas que oferecem serviços online.