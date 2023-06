Téměř přesně před měsícem jsme vás informovali o tom, že se Google rozhodl ve své službě Gmail používat ověření jednotlivých firemních účtů a doplnit jej známou modrou fajfkou. Než se uživatelé vůbec stihli po této novince porozhlédnout, už začíná ztrácet na autoritě. Ověření včetně fajfky je totiž evidentně možné zfalšovat.

Aby mohla společnost pro své Gmail účty získat ověření a současně i vlastní logo, musí splnit podmínky verifikačního systému Brand Indicators for Message Identification (BIMI), případně dalších nástrojů VMC (Verified Mark Certificate) či DMARC (Domain-based Message Authentication, Reporting, and Conformance). Jak si však všiml inženýr pro kybernetickou bezpečnost Chris Plummer, někteří podvodníci našli způsob, jak obejít ochranu společnosti Google a vytvořit dojem, že jejich zprávy pocházejí z oficiálního zdroje.

There is most certainly a bug in Gmail being exploited by scammers to pull this off, so I submitted a bug which @google lazily closed as “won’t fix – intended behavior”. How is a scammer impersonating @UPS in such a convincing way “intended”. pic.twitter.com/soMq7KraHm

— plum (@chrisplummer) June 1, 2023