ก่อนหน้านี้ Gmail ได้ออกเครื่องหมายถูกสีฟ้าหลังชื่อผู้ส่งอีเมล เพื่อใช้ในการยืนยันองค์กร ซึ่งเครื่องหมายถูกเป็นสิ่งที่ทำเพื่อใช้ในการตรวจสอบตัวตนออนไลน์เบื้องต้นได้ทันทีที่เห็น ล่าสุด Chris Plummer วิศวกรด้านความมั่นคงทางไซเบอร์สังเกตว่า มิจฉาชีพเจอวิธีใช้ประโยชน์จากเครื่องหมายของถูก Google เพื่อหลอกลวงผู้อื่นให้เชื่อว่าเป็นข้อความมาจากบริษัทที่น่าเชื่อถือ
Plummer แสดงหน้าจอที่คนร้ายปลอมตัวเป็นบริษัท UPS โดยอาศัยการยืนยันตัวตนจาก sub-domain ของ UPS ที่ชื่อว่า kelerymjrlnra.ups.com อีกทีหนึ่ง ไม่แน่ชัดว่าคนร้ายสามารถยึดโดเมนนี้อย่างไร แต่ผลสุดท้ายคือคนร้ายสามารถส่งอีเมลโดยได้รับเครื่องหมายสีน้ำเงินจากกูเกิลได้
ต่อมา Plummer ทวีตเล่าถึงความไม่พอใจจากการที่ติดต่อกับทาง Google เพื่อแจ้งให้ทราบถึงข้อผิดพลาด แต่ถูกปฏิเสธและตอบกลับว่าเป็น “พฤติกรรมโดยเจตนา” แต่เกิดเป็นกระแสวิจารณ์ใน Twitter จำนวนมากทำให้ Google เริ่มกลับมาพิจารณาปัญหาดังกล่าวอีกครั้ง
Gmail มีการให้บริษัทและองค์กรต่างๆ สามารถยืนยันตัวตนได้ด้วยระบบต่างๆ เช่น BIMI (ตัวบ่งชี้แบรนด์สำหรับการระบุข้อความ), VMC (เครื่องหมายรับรองที่ได้รับการยืนยัน) และ DMARC (การตรวจสอบข้อความตามโดเมน, การรายงาน และการยอมรับ) เมื่อบริษัทผ่านกระบวนการตรวจสอบแล้ว Gmail จะเริ่มแสดง Logo ของบริษัท รวมถึงเครื่องหมายสีน้ำเงินข้างๆ ชื่อของบริษัท
There is most certainly a bug in Gmail being exploited by scammers to pull this off, so I submitted a bug which @google lazily closed as “won’t fix - intended behavior”. How is a scammer impersonating @UPS in such a convincing way “intended”. pic.twitter.com/soMq7KraHm
— plum (@chrisplummer) June 1, 2023
ที่มา: androidpolice
Comments
เครื่องหมายถูกของ?
บริษัทใหญ่ๆ ถ้าไม่รู้จักคนในจริงจัง ติดต่อทำอะไรยากมาก
คิดถึง EV SSL สมัยก่อน ไม่รู้ที่เอาออกไปเพราะเหตุผลว่ากลัวคนสับสนนี่คือยังไงนะ สุดท้ายก็เหมือนต้องเอากลับมาใช้ปะถ้าอยากยืนยันตัวนิติบุคคล