購読料を支払った人の所有物となった Twitter での認証を超えて、1 か月前、 Gmail は公式アカウントと非公式アカウントを区別するという、常に持つべき目的を伴う認証バッジを統合しました。この場合は企業向けです。劇は別の方向へ進んでしまった。
この措置は主に、フィッシング、つまりユーザーを騙す目的で会社名が使用されることを防止するために実装されました。しかし、彼らは Google が使用するシステムを回避することに成功し、一部の企業がそのシステムに取って代わられ、現在では青色認証が追加されています。
個人情報盗難のループを解消する
このバッジの登場の背景は、冒頭で述べたように、本物の企業と詐欺師を区別する必要があるということです。それも無駄ではなく、私たちは毎日多数の迷惑メールを受け取りますが、通常は「スパム」フォルダーに分類されますが、受信トレイに紛れ込むこともよくあります。
これらの電子メールでは、この企業は有名な企業であると主張しているため、被害者はそれを信じてその指示に従います。その指示には、悪意のある添付ファイルのダウンロードから、個人情報や個人情報の入力を求める外部リンクの入力に至るまで、多岐にわたります。アクションを実行するための支払い。検証 (青い「チェック」) は、これらの本物の電子メール詐欺と企業を区別するために役立つはずです。
しかし、サイバーセキュリティの専門家がTwitter でコメントしているように、一部の検証済み電子メールが、本来の企業から送信されていないのに受信されているようです。例として、宅配会社 UPS から送信されたと思われる電子メールが添付されていますが、送信者の電子メール アドレスを考えると、実際には UPS ではありません。
専門家は、Googleの認証システムがどのように侵害されたかについて詳細を明らかにしていないが、これはおそらく山火事や他のサイバー犯罪者の参加のように拡散するのを防ぐことを優先していると思われる。実際、これは非常に問題となる可能性があります。その「小切手」で受信した電子メールは誰でも信頼できますが、ご覧のとおり、それはもはや真実性と同義ではありません。
Gmail が企業を認証し、バッジを付与するために使用するシステムがどこか脆弱であることは明らかです。これまでGoogleは、ロゴと電子メールのドメインの両方の検証をEntrustやDigiCerttoなどの企業に委託していた。
9to5Google では、Google 自体はすでに問題を認識しているが、その原因は第三者にあると報告しており、数日以内に新しい検証要件を導入すると発表していると報告しています。具体的には、DKIM(DomainKeys Identified Mail)認証規格の利用を求めるという。
そのため、この変更を犠牲にして、確認済みの電子メールを受信した場合には細心の注意を払うことをお勧めします。送信者の電子メール アドレスが本物かどうか (マスクされている可能性はありますが) を確認し、何よりもコンテキストを疑ってください。ファイルのダウンロードや不審なリンクの入力を求められたら、疑ってください。
経由 | 9to5Google