بر اساس گزارش نشریه فوربس، یک مهندس حوزه امنیت سایبری با نام کریس پلامر از طریق انتشار یک توییت به کاربران اپلیکیشن یا وبسایت سرویس ایمیل گوگل موسوم به جیمیل هشدار داده است.
همه چیز به سیستم چکمارک گوگل که طی ماه میلادی گذشته بهطور رسمی معرفی شد؛ مربوط میشود. این سیستم به منظور تائید ایمیلهایی که ظاهرا توسط شرکتها و سازمانهای قانونی ارسال شدهاند؛ طراحی شده است. در اینحالت در اینباکس جیمیل، ایمیلی با علامت آبی نشان داده میشود و کاربران با خیال راحت و بدون نگرانی از هرگونه کلاهبرداری، ارسال هرزنامه و هک شدن میتوانند ایمیل مورد اشاره را باز کنند.
کلاهبرداران به لطف وجود یک باگ برای تائید ایمیل جعلی خود میتوانند علامت صوری آبیرنگ را از جیمیل دریافت نمایند. آقای پلامر موفق به شناسایی راهکاری شده که به افراد خرابکار امکان میدهد تا علامت آبیرنگ را دریافت نموده و جیمیل فیش شده خود را تائید کنند.
آقای پلامر پس از مشاهده یک کلاهبردار که با جعل هویت در حال ارسال یک ایمیل تائید شده بود؛ گزارش مربوط به باگ را برای گوگل ارسال کرد. این ایمیل حتی آیکون نمادین UPS shield را نیز در خود جای داده بود. گوگل در ابتدا پیشنهاد آقای پلامر را رد و اعلام کرد که چنین باگی را برطرف نمیکند؛ چرا که چنین رفتاری تحت نظر قرار دارد. آقای پلامر با انتشار یک توییت این پرسش را مطرح کرد که یک کلاهبردار چگونه با چنین روش متقاعدکنندهای موفق به جعل هویت UPS شده است؟
جیمیل زیر علیرغم وجود چکمارک آبی و آیکون نمادین UPS shield با هدف کلاهبرداری ارسال شده و از جانب UPS فرستاده نشده است.
اما تیم امنیتی گوگل بلافاصله چنین تشابهی را مورد بررسی قرار داد و با ارسال پیامی برای کریس پلامر اعلام کرد: “ما پس از بررسی دقیق موضوع متوجه شدیم که این مسئله حقیقتا به یک حفره آسیبپذیری SPF عمومی شباهت ندارد. بنابراین ما در حال بررسی دوباره موضوع هستیم و تیم مربوطه نیز کلیه اتفاقات روی داده را به شکلی دقیقتر بررسی میکند. ما بایت سردرگمی ایجاد شده مجددا عذرخواهی نموده و اعتراف میکنیم که پاسخ اولیه ما احتمالا ناامیدکننده بوده است. از شما بابت اینکه ما را برای بررسی دقیقتر موضوع تحت فشار قرار دادید؛ صمیمانه سپاسگزاریم. ما شما را در جریان ارزیابی خود و روند پیشرفت بررسیهای صورت گرفته قرار خواهیم داد.”
گوگل اکنون این نقص را در رده P1 طبقهبندی کرده است؛ بدان معنا که اصلاح آن جزو اولویتهای کمپانی محسوب میشود. اما تا زمان رفع این مشکل، کاربران بایستی مراقب جیمیلهای تائید شدهای باشند که ظاهرا و برخلاف واقع متعلق به یک شرکت هستند. اینبار نیز توصیه میشود تا کاربران روی هیچ لینکی کلیک نکرده و اطلاعاتی مانند شماره تامین اجتماعی، شماره کارتهای اعتباری، تاریخ انقضاء و کد امنیتی مربوط به آنها را در اختیار سایرین قرار ندهند.
کارشناسان امیدوارند که اولویت بالای رفع این مشکل برای گوگل مانع کلاهبرداری افراد سودجو از کاربران جیمیل شود. امسال تعداد کاربران فعال جیمیل به بیش از 1.8 میلیارد نفر رسیده است. بدینترتیب یک فرد خرابکار با استفاده از این باگ قادر به خالی کردن حساب بانکی قربانی خود خواهد بود.
بهعنوان مثال فرد قربانی میتواند یک ایمیل UPS جعلی با علامت آبی مبنی بر تحویل یک مرسوله را دریافت نماید. این ایمیل به منظور تائید هویت کاربر احتمالا اطلاعاتی را از وی دریافت خواهد کرد. وجود علامت تائید موجب اطمینان خاطر کاربر شده و وی اطلاعاتی نظیر شماره تامین اجتماعی، تاریخ تولد، اطلاعات حساب بانکی یا کارت اعتباری خود را ارائه میدهد. بدینترتیب شخص با نیت مخرب میتواند از این اطلاعات سوء استفاده کند.
امروزه اکثر شرکتها اقدام به ارسال ایمیل یا پیام حاوی لینک برای کاربران نکرده و اطلاعاتی نظیر موارد اشاره شده را از کاربران درخواست نمیکنند. حتی با رفع این باگ توسط گوگل نیز کاربران صرفا با مشاهده علامت آبیرنگ نبایستی اطلاعات شخصی خود را ارائه نمایند. سرعت عمل یک کلاهبردار در زمینه دریافت اطلاعات شخصی و تخلیه موجودی حساب بانکی کاربران به شکلی باورنکردنی سریع است. بهترین پیشنهاد به کاربران جیمیل این است که رویکرد بسیار محتاطانهای را در پیش بگیرند.
