Forse ricorderete che anche Google ha introdotto una spunta blu di verifica, ma molto diversa nella sostanza rispetto a quella dell'abbonamento Twitter Blue. Non si tratta infatti di una forma d'account premium ma piuttosto di un nuovo sistema di verifica che ha lo scopo di prevenire le e-mail di phishing. A quanto pare, il sistema può essere aggirato facilmente e molti scammers potrebbero aver già trovato il modo di abusare della protezione a loro vantaggio.

Gmail ha lanciato i segni di spunta blu il mese scorso, consentendo alle aziende di verificare le proprie e-mail di marketing e altri messaggi per rendere più evidente quali sono le mail ufficiali, offrendo un mezzo chiaro e rapido per distinguerle quelle false. L'idea alla base è sicuramente lodevole e apparentemente ottima, tuttavia presenta delle gravi falle. Chris Plummer, un esperto in sicurezza informatica, ha pubblicato un tweet la settimana scorsa per segnalare un problema con i segni di spunta blu di Gmail che dimostra come sia possibile falsificarli con facilità. ingannando di conseguenza gli utenti.

There is most certainly a bug in Gmail being exploited by scammers to pull this off, so I submitted a bug which @google lazily closed as “won’t fix - intended behavior”. How is a scammer impersonating @UPS in such a convincing way “intended”. pic.twitter.com/soMq7KraHm

— plum (@chrisplummer) June 1, 2023

Come è possibile tutto ciò? Il sistema di Gmail utilizza i sistemi di controllo Brand Indicators for Message Identification (BIMI), insieme a DMARC (Domain-based Message Authentication, Reporting, and Conformance) e un VMC (Verified Mark Certificate) emesso da un'autorità di certificazione, come Entrust o DigiCert, per verificare sia il logo che il dominio associato. Plummer non spiega dettagliatamente come sia possibile aggirare il complesso sistema di protezione, ma fornisce un esempio di una e-mail - con informazioni più dettagliate che utilizzava il logo di UPS con un dominio e includeva "ups.com" per falsificare un segno di spunta su un'e-mail chiaramente non ufficiale.

Inizialmente, un report di bug di Plummer è stato segnalato come "comportamento intenzionale" da Google, ma l'azienda ha successivamente cambiato posizione e riaperto la questione. Questo lascia aperta la possibilità di una correzione, ma non si conosce ancora il tempismo. Un sistema del genere ha vantaggi evidenti, ma gli scammers sono persistenti e non sorprende che sia stata trovata una falla.

Dopo la pubblicazione della notizia da parte di 9to5Mac, Google ha rilasciato una dichiarazione in merito, spiegando che questo problema deriva da una vulnerabilità di terze parti. Per evitare ulteriori problematiche simili Google richiederà ai mittenti di utilizzare lo standard di autenticazione DomainKeys Identified Mail (DKIM) per qualificarsi per i segni di spunta blu. Si apprende inoltre che il nuovo requisito sarà implementato entro la fine di questa settimana.