Uma suposta falha no sistema de exibição do selo azul de verificado no Gmail pode facilitar a aplicação de golpes em usuários do serviço de e-mail do Google. É o que alerta o engenheiro de segurança cibernética Chris Plummer, que compartilhou a descoberta com seus seguidores no Twitter, na última quarta-feira (31).
Conforme o especialista, alguém se passando pela empresa de remessas e entrega de encomendas UPS lhe enviou um e-mail, buscando informações a respeito de um pacote. Mas bastou um olhar mais atento ao remetente da mensagem para verificar que havia algo errado.
No print divulgado por ele (veja no tweet abaixo), é possível notar o selo azul e também o símbolo da companhia de logística, que teoricamente indicariam a autenticidade do remetente. Porém, a mensagem foi enviada a partir de uma “conta do Facebook” e não pelo e-mail oficial da UPS, como afirma Plummer.
There is most certainly a bug in Gmail being exploited by scammers to pull this off, so I submitted a bug which @google lazily closed as “won’t fix - intended behavior”. How is a scammer impersonating @UPS in such a convincing way “intended”. pic.twitter.com/soMq7KraHm
— plum (@chrisplummer) June 1, 2023
Curiosamente, o “selo azul do Gmail” foi criado justamente para reduzir golpes e fraudes na plataforma. Para disponibilizar o símbolo de conta verificada, a gigante das buscas usa sistemas como Branding Indicators for Message Identification (BIMI), Verified Mark Certificate (VMC) e Domain-based Message Authentication, Reporting and Conformance (DMARC).
Google investiga a vulnerabilidade
Logo após identificar o bug no sistema de verificação de contas do Gmail, o engenheiro avisou o Google. A princípio, a gigante da tecnologia não reconheceu a vulnerabilidade, alegando que o mecanismo apresentava um “comportamento pretendido”.
Com a repercussão, a companhia de Mountain View voltou atrás e disse que está investigando uma suposta falha no método de certificação de contas, após “examinar mais de perto” os detalhes fornecidos. A empresa, no entanto, não divulgou informações sobre a origem do possível bug nem deu prazo para lançar uma correção, levando os usuários a redobrar a atenção para não cair em golpes de phishing.