کلیه کاربران فعال جیمیل در معرض یک تهدید امنیتی جدی قرار دارند

بر اساس گزارش نشریه فوربس، یک مهندس حوزه امنیت سایبری با نام کریس پلامر از طریق انتشار یک توییت به کاربران اپلیکیشن یا وبسایت سرویس ایمیل گوگل موسوم به جیمیل هشدار داده است.

همه چیز به سیستم چک‌مارک گوگل که طی ماه میلادی گذشته به‌طور رسمی معرفی شد؛ مربوط می‌شود. این سیستم به منظور تائید ایمیل‌هایی که ظاهرا توسط شرکت‌ها و سازمان‌های قانونی ارسال شده‌اند؛ طراحی شده است. در این‌حالت در اینباکس جیمیل، ایمیلی با علامت آبی نشان داده می‌شود و کاربران با خیال راحت و بدون نگرانی از هرگونه کلاهبرداری، ارسال هرزنامه و هک شدن می‌توانند ایمیل مورد اشاره را باز کنند.

کلاهبرداران به لطف وجود یک باگ برای تائید ایمیل جعلی خود می‌توانند علامت صوری آبی‌رنگ را از جیمیل دریافت نمایند. آقای پلامر موفق به شناسایی راهکاری شده که به افراد خرابکار امکان می‌دهد تا علامت آبی‌رنگ را دریافت نموده و جیمیل فیش شده خود را تائید کنند.

آقای پلامر پس از مشاهده یک کلاهبردار که با جعل هویت در حال ارسال یک ایمیل تائید شده بود؛ گزارش مربوط به باگ را برای گوگل ارسال کرد. این ایمیل حتی آیکون نمادین UPS shield را نیز در خود جای داده بود. گوگل در ابتدا پیشنهاد آقای پلامر را رد و اعلام کرد که چنین باگی را برطرف نمی‌کند؛ چرا که چنین رفتاری تحت نظر قرار دارد. آقای پلامر با انتشار یک توییت این پرسش را مطرح کرد که یک کلاهبردار چگونه با چنین روش متقاعدکننده‌ای موفق به جعل هویت UPS شده است؟

جیمیل زیر علیرغم وجود چک‌مارک آبی و آیکون نمادین UPS shield با هدف کلاهبرداری ارسال شده و از جانب UPS فرستاده نشده است.

اما تیم امنیتی گوگل بلافاصله چنین تشابهی را مورد بررسی قرار داد و با ارسال پیامی برای کریس پلامر اعلام کرد: “ما پس از بررسی دقیق موضوع متوجه شدیم که این مسئله حقیقتا به یک حفره آسیب‌پذیری SPF عمومی شباهت ندارد. بنابراین ما در حال بررسی دوباره موضوع هستیم و تیم مربوطه نیز کلیه اتفاقات روی داده را به شکلی دقیق‌تر بررسی می‌کند. ما بایت سردرگمی ایجاد شده مجددا عذرخواهی نموده و اعتراف می‌کنیم که پاسخ اولیه ما احتمالا ناامیدکننده بوده است. از شما بابت اینکه ما را برای بررسی دقیق‌تر موضوع تحت فشار قرار دادید؛ صمیمانه سپاسگزاریم. ما شما را در جریان ارزیابی خود و روند پیشرفت بررسی‌های صورت گرفته قرار خواهیم داد.”

گوگل اکنون این نقص را در رده P1 طبقه‌بندی کرده است؛ بدان معنا که اصلاح آن جزو اولویت‌های کمپانی محسوب می‌شود. اما تا زمان رفع این مشکل، کاربران بایستی مراقب جیمیل‌های تائید شده‌ای باشند که ظاهرا و برخلاف واقع متعلق به یک شرکت هستند. این‌بار نیز توصیه می‌شود تا کاربران روی هیچ لینکی کلیک نکرده و اطلاعاتی مانند شماره تامین اجتماعی، شماره کارت‌های اعتباری، تاریخ انقضاء و کد امنیتی مربوط به آنها را در اختیار سایرین قرار ندهند.

رفع باگ جدید جیمیل به یکی از اولویت‌های اصلی گوگل تبدیل شده است.

کارشناسان امیدوارند که اولویت بالای رفع این مشکل برای گوگل مانع کلاهبرداری افراد سودجو از کاربران جیمیل شود. امسال تعداد کاربران فعال جیمیل به بیش از 1.8 میلیارد نفر رسیده است. بدین‌ترتیب یک فرد خرابکار با استفاده از این باگ قادر به خالی کردن حساب بانکی قربانی خود خواهد بود.

به‌عنوان مثال فرد قربانی می‌تواند یک ایمیل UPS جعلی با علامت آبی مبنی بر تحویل یک مرسوله را دریافت نماید. این ایمیل به منظور تائید هویت کاربر احتمالا اطلاعاتی را از وی دریافت خواهد کرد. وجود علامت تائید موجب اطمینان خاطر کاربر شده و وی اطلاعاتی نظیر شماره تامین اجتماعی، تاریخ تولد، اطلاعات حساب بانکی یا کارت اعتباری خود را ارائه می‌دهد. بدین‌ترتیب شخص با نیت مخرب می‌تواند از این اطلاعات سوء استفاده کند.

امروزه اکثر شرکت‌ها اقدام به ارسال ایمیل یا پیام حاوی لینک برای کاربران نکرده و اطلاعاتی نظیر موارد اشاره شده را از کاربران درخواست نمی‌کنند. حتی با رفع این باگ توسط گوگل نیز کاربران صرفا با مشاهده علامت آبی‌رنگ نبایستی اطلاعات شخصی خود را ارائه نمایند. سرعت عمل یک کلاهبردار در زمینه دریافت اطلاعات شخصی و تخلیه موجودی حساب بانکی کاربران به شکلی باورنکردنی سریع است. بهترین پیشنهاد به کاربران جیمیل این است که رویکرد بسیار محتاطانه‌ای را در پیش بگیرند.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

به بالا بروید
TCH