O tweet do profissional de segurança força uma grande mudança na autenticação de e-mail do Google
9 de junho de 2023No mês passado, o Google anunciou que os usuários do Gmail começariam a ver marcas de seleção azuis ao lado de logotipos de marcas para remetentes que participassem do programa BIMI – Brand Indicators for Message Identification.
Projetado para dar aos clientes confiança adicional de que os remetentes de marca são quem afirmam ser, o BIMI e sua marca de seleção azul deveriam desferir um golpe contra a falsificação de e-mail e phishing.
Mas, menos de um mês após o lançamento do BIMI, os golpistas encontraram uma maneira de contornar seus controles e conseguiram se passar por marcas com sucesso, enviando e-mails para usuários do Google que se passavam pela gigante logística UPS.
Agora, o Google diz que está apertando seu processo de verificação BIMI e está culpando um “terceiro” não identificado por permitir que seus serviços sejam usados de maneiras que contornam seus controles de segurança e entregam mensagens falsificadas nas caixas de entrada. Especialistas dizem que os provedores de e-mail – incluindo a Microsoft – ainda podem permitir esse tipo de comportamento e não estão fazendo o suficiente para resolver um problema de segurança que ilustra a complexidade impressionante do ecossistema de e-mail moderno.
Pesquisadores de segurança argumentam que a maneira como o BIMI está sendo implementado significa que atores mal-intencionados podem abusar do sistema para se passar por marcas conhecidas de maneira mais eficaz, tornando muito mais provável que os usuários finais cliquem em um link malicioso ou abram um anexo duvidoso como parte de um phishing. ataque.
O phishing representa quase metade de todos os ataques de engenharia social, levando a perdas de dezenas de milhões de dólares anualmente, de acordo com o Relatório de Investigações de Violação de Dados da Verizon de 2023 .
Ao longo dos anos, vários protocolos — como SPF, DKIM e outros — foram adotados para abordar a verificação do remetente de e-mail, mas esses protocolos são soluções incompletas que abordam diferentes aspectos de um problema complexo.
Desenvolvido por um grupo de trabalho do setor em 2018 e adotado pela primeira vez pelo Google em julho de 2021, o BIMI pretendia fornecer uma camada adicional de segurança de e-mail”, exibindo no Gmail os “logotipos validados” das marcas no programa e “aumentando a confiança na fonte de e-mails para destinatários”, disse a empresa em seu lançamento .
A ideia era que o BIMI exigiria os padrões de autenticação de e-mail DMARC e SPF ou DKIM, transmitindo um nível adicional de confiança e reconhecimento ao remetente da marca.
Alex Liu, um pesquisador de segurança cibernética e estudante de doutorado na Universidade da Califórnia em San Diego, que estudou as vulnerabilidades dos protocolos de verificação de e-mail, disse que não estava surpreso que os golpistas estivessem atacando o BIMI.
Ao longo da história, os golpistas são geralmente os primeiros a adotar esses novos protocolos, disse Liu ao CyberScoop, acrescentando que agora cabe a empresas como a Microsoft proteger seus servidores de e-mail e garantir que o BIMI não seja abusado.
A confusão sobre como o BIMI está sendo implementado começou com um conjunto de tweets de Chris Plummer, um profissional de segurança cibernética de New Hampshire que descreveu a implementação do BIMI do Google como potencialmente “catastrófica” e que poderia tornar os usuários muito mais propensos a agir de acordo com o conteúdo de uma mensagem incorretamente verificada.
“Ficou claro nos cabeçalhos da mensagem que recebi que havia alguma subversão óbvia, e o Google não estava olhando o suficiente para trás na cadeia de entrega para ver isso”, disse Plummer ao CyberScoop.
Em um estudo publicado no início deste ano, Liu e um grupo de coautores documentaram como os protocolos destinados a impedir que os domínios de remetentes falsificados tenham problemas ao encontrar e-mails que foram encaminhados – que é uma ferramenta que grandes corporações que podem confiar no BIMI costumam usar para enviar e-mails em massa.
Plummer descobriu o problema com o BIMI depois de perceber um e-mail em sua caixa de entrada do Gmail supostamente da UPS. Algo não parecia certo, disse ele a uma agência de notícias local , e Plummer determinou que o e-mail não era, de fato, da UPS. Ele enviou um relatório de bug ao Google em 31 de maio, mas a empresa “preguiçosamente” o fechou porque “não consertará o comportamento pretendido”, tuitou Plummer . “Como um golpista está se passando por @UPS de maneira tão convincente ‘intencional‘”, Plummer acrescentou no tweet que já foi visto quase 155.000 vezes.
“O remetente encontrou uma maneira de enganar o selo de aprovação oficial do @gmail , no qual os usuários finais vão confiar”, disse Plummer em um tweet subsequente. “Esta mensagem foi de uma conta do Facebook, para um netblock do Reino Unido, para O365, para mim. Nada sobre isso é legítimo. O Google simplesmente não quer lidar com este relatório honestamente.”
No dia seguinte, após a apelação de Plummer, o Google mudou de rumo e notificou Plummer de que estava analisando novamente seu relatório. “Muito obrigado por nos pressionar para darmos uma olhada mais de perto nisso!” a empresa escreveu em uma nota, designando o bug como uma prioridade “P1”.
“Esse problema decorre de uma vulnerabilidade de segurança de terceiros que permite que atores mal-intencionados pareçam mais confiáveis do que são”, disse um porta-voz do Google ao CyberScoop em um e-mail na segunda-feira. “Para manter os usuários seguros, estamos exigindo que os remetentes usem o padrão de autenticação DomainKeys Identified Mail (DKIM) mais robusto para se qualificarem para o status de indicadores de marca para identificação de mensagens (marca de seleção azul).
O requisito DKIM deve estar totalmente em vigor até o final da semana, disse o porta-voz do Google, marcando uma mudança em relação à política anterior que exigia DKIM ou um padrão separado – o Sender Policy Framework – ambos usados por provedores de e- mail8 em parte, para determinar se o e-mail recebido provavelmente é spam e teoricamente autenticar que um remetente é quem afirma ser. O porta-voz acrescentou que o Google apreciou o trabalho de Plummer para trazer o problema à sua atenção.
Depois que Plummer destacou pela primeira vez o problema do BIMI no Twitter, Jonathan Rudenberg, um pesquisador de segurança, replicou o problema por meio do Microsoft 365 enviando e-mails falsificados de um sistema de e-mail da Microsoft para uma conta do Gmail e enviou um relatório de bug à Microsoft.
Mas até agora, a Microsoft diz que não é sua responsabilidade, mas do Google, corrigir o problema.
Em sua resposta ao relatório de bug de Rudenberg, o Security Response Center da Microsoft disse a Rudenberg que o problema “não representa uma ameaça imediata que requer atenção urgente” e que o “ônus” de garantir a segurança é o provedor de e-mail do usuário final que, neste caso , foi o Google.
“Embora seja verdade que o SMTP/MX pode ser facilmente falsificado”, disslklo ok mm e a empresa em sua resposta , referindo-se aos protocolos básicos de e-mail, “é responsabilidade do provedor de e-mail receptor verificar o conteúdo e a origem das mensagens. Qualquer e-mail genuinamente originário da Microsoft pode ser autenticado usando SPF e DKIM, tornando isso uma falha do serviço de e-mail em não rejeitar a mensagem ou enviá-la para uma pasta de lixo eletrônico.”
Fonte: CyberScoop
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
Tipos de Certificado SSL para o Open Finance.
Apple se junta ao Google na adoção de BIMI e VMCs para e-mail.
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.
