【希望之聲2023年6月6日】(本台記者謝伯壺綜合報導) 自從谷歌(Google)的Gmail在5月比照推特(Twitter)提供「藍色標記」來驗證用戶後,不過一個月的時間,就已經遭到黑客利用。全球18億用戶的金錢密碼,也可能因此遭竊。
綜合媒體報導,谷歌在5月5日宣布將發表一個稱為「BIMI」的更新,加強Gmail的安全和保護。這個更新會在Gmail的發件人姓名後面,放置一個「藍色標記」,用戶可藉此輕鬆識別經過認證的發件人郵件。 谷歌推出這個位於發件人姓名旁邊的驗證功能,是為了向讀者保證電子郵件是安全的。
但詐騙者還是找到了獲得認證標記的變通方法,這能讓他們製作來自知名品牌的虛假地址,用戶也可能遭欺騙,提供憑證或付款。
令人驚訝的是,谷歌的網絡安全部門表示,他們很快就發現這個漏洞,卻「忽略」了這個問題。
目前黑客可使用Gmail現有的「消息識別品牌指標」(BIMI)功能,這功能來自新的「藍色複選標記」系統。詐騙者正利用這個漏洞來創建像UPS等知名品牌「已驗證」的虛假地址。
網絡安全工程師克里斯·普盧默(Chris Plummer)在推特上表示,自己提交了一個錯誤,但谷歌工程師關閉了它,因為他們不會修復預期的行為。
那麼這些詐騙者是用甚麼方式,冒充令人信服的帳號呢?
簡單來說,藍色驗證標記會確認電子郵件地址有權使用分配給它的名稱和頭像圖像,例如大品牌的標誌。但要通過驗證,只需要一個域密鑰識別郵件(DKIM)簽名 ,而這可以來自「任何域」。
軟件工程師喬納森·魯登伯格(軟件工程師 Jonathan Rudenberg)說,這意味著啟用(BIMI)的域的任何共享或配置錯誤的郵件服務器,都可以成為發送欺騙性郵件的媒介。這也會導致經過BIMI認證後的郵件,可能比現狀更糟。
因為如此一來,詐騙者就能使用許多不同的數字和字母製作地址,同時輸入公司名稱,藉此欺騙收件人。用戶只能在採取行動前,仔細查看所有經過驗證的電子郵件地址。
令人訝異的是,谷歌的第一反應竟是忽略這個問題。
克里斯表示,這間科技巨頭的安全團隊一開始先回覆他「不會修復這個漏洞」。
這也導致像iCloud等其它郵件,明顯安全性更高。
幸運的是,現在谷歌經過觀察後,已經把這個虛假的「認證錯誤」列為最優先處理的問題。因為這不是一般的漏洞。所以他們會在評估後,重新開放相關的認證功能。
責任編輯:林莉
