Nueva advertencia de seguridad emitida para los 1.800 millones de usuarios de Gmail de Google
Google ha confirmado que se enviaron mensajes de seguridad incorrectos a los usuarios de Gmail
06/05 Actualización a continuación. Este artículo fue publicado originalmente el 3 de junio.
La seguridad de Gmail siempre ha sido uno de sus mayores puntos de venta, pero ahora los piratas informáticos utilizan activamente una de sus nuevas funciones de seguridad más importantes para estafar a los usuarios.
El nuevo sistema de verificación del remitente de marca azul de Gmail, como debería ser
Presentado el mes pasado, el Sistema de marca de Gmail destaca las empresas y organizaciones verificadas para los usuarios con una marca azul. La idea es ayudar a los usuarios a discernir qué correos electrónicos son legítimos y cuáles pueden haber sido enviados por imitadores que realizan estafas. Desafortunadamente, los ladrones engañaron al sistema.
Los estafadores hackean el nuevo sistema de verificación de remitentes de Gmail
Visto por un ingeniero de ciberseguridad chris plumer, los estafadores han encontrado una manera de convencer a Gmail de que sus marcas falsas son legítimas. Por lo tanto, utiliza la confianza que se supone que el sistema de marca inspira a los usuarios de Gmail.
«El remitente encontró una manera de engañar al sello autorizado de aprobación de @gmail, en el que los usuarios finales van a confiar», dice Plummer. «Esta publicación pasó de una cuenta de Facebook a un bloque de red del Reino Unido, a O365, a mí. Nada de eso es legítimo.
Plummer informa que Google inicialmente descartó su descubrimiento como «comportamiento intencional» antes de que sus tweets al respecto se volvieran virales y la compañía reconoció el error. En una declaración a Plummer, Google escribió:
“Después de observar más de cerca, nos dimos cuenta de que, de hecho, esto no parece ser una vulnerabilidad SPF genérica, por lo que estamos reabriendo esto y el equipo apropiado está analizando más de cerca lo que está sucediendo.
Nuevamente, nos disculpamos por la confusión y entendemos que nuestra respuesta inicial puede haber sido frustrante. ¡Muchas gracias por insistir en que echemos un vistazo más de cerca!
Lo mantendremos informado sobre nuestra evaluación y hacia dónde se dirige este problema.
Atentamente, Equipo de seguridad de Google »
fontanero puntos fuertes que Google ahora ha enumerado la falla como una solución «P1» (máxima prioridad), que actualmente está «en progreso».
Plummer tiene mucho crédito, no solo por su descubrimiento, sino por sus esfuerzos para que Google reconozca el problema. Dicho esto, hasta que Google tenga una solución, el sistema de verificación de ticks de Gmail sigue siendo defectuoso y los piratas informáticos y los spammers lo utilizan para engañarlo con exactamente lo que se suponía que debía combatir. Manténgase alerta.
Actualización 05/06: Los investigadores de seguridad están comenzando a comprender cómo se engaña al sistema de verificación de marca de verificación de Gmail y cómo se aplica a otros servicios de correo electrónico. En un entrada en el blogEl depurador Jonathan Rudenberg reveló que pudo reproducir el hack en Gmail, explicando:
«Gmail implementación BIMI solo requiere FPS para emparejar, el Firma DKIM puede provenir de cualquier dominio. Esto significa que cualquier servidor de correo compartido o mal configurado en los registros SPF de un dominio habilitado para BIMI puede ser un vector para enviar mensajes falsificados con procesamiento BIMI ✅ completo en Gmail…
BIMI es peor que el statu quo porque permite un poderoso phishing basado en una sola configuración incorrecta en la pila enormemente complicada y frágil que es el correo electrónico.
Rudenberg también publicó los resultados de las implementaciones de BIMI en otros importantes servicios de mensajería, afirmando:
- iCloud: comprueba correctamente que DKIM coincide con el dominio From
- Yahoo: solo adjunta procesamiento BIMI a envíos masivos de alta reputación
- Fastmail: vulnerable pero también es compatible con Gravatar y usa el mismo procesamiento para ambos, por lo que el impacto es mínimo
- Apple Mail + Fastmail: vulnerable con tratamiento peligroso
Sí, eso significa que los usuarios de Apple Mail y Fastmail también deben estar atentos, aunque no ejecutan el mismo sistema verificado de verificación que Gmail. Ha habido una respuesta muy crítica a esta vulnerabilidad por parte de la comunidad de seguridad, con preguntas sobre cómo pudo haber sucedido esto y la implementación deficiente del método de verificación de Gmail. Google necesita una solución lo antes posible.
___
Sigue a Gordon en Facebook
Más información sobre Forbes
«Jugador orgulloso. Gurú del café. Alcoholico galardonado. Entusiasta de la cerveza. Estudiante. Aficionado a los zombis. Lector. Especialista en música. Aficionado a la comida».
