'Selo azul' do Gmail pode ter falha que facilita golpes
06/06/2023 - 05:40•2 min de leitura
Imagem de 'Selo azul' do Gmail pode ter falha que facilita golpes no tecmundo
Uma suposta falha no sistema de exibição do selo azul de verificado no Gmail pode facilitar a aplicação de golpes em usuários do serviço de e-mail do Google. É o que alerta o engenheiro de segurança cibernética Chris Plummer, que compartilhou a descoberta com seus seguidores no Twitter, na última quarta-feira (31).
Conforme o especialista, alguém se passando pela empresa de remessas e entrega de encomendas UPS lhe enviou um e-mail, buscando informações a respeito de um pacote. Mas bastou um olhar mais atento ao remetente da mensagem para verificar que havia algo errado.
No print divulgado por ele (veja no tweet abaixo), é possível notar o selo azul e também o símbolo da companhia de logística, que teoricamente indicariam a autenticidade do remetente. Porém, a mensagem foi enviada a partir de uma “conta do Facebook” e não pelo e-mail oficial da UPS, como afirma Plummer.
There is most certainly a bug in Gmail being exploited by scammers to pull this off, so I submitted a bug which @google lazily closed as “won’t fix - intended behavior”. How is a scammer impersonating @UPS in such a convincing way “intended”. pic.twitter.com/soMq7KraHm
— plum (@chrisplummer) June 1, 2023
Curiosamente, o “selo azul do Gmail” foi criado justamente para reduzir golpes e fraudes na plataforma. Para disponibilizar o símbolo de conta verificada, a gigante das buscas usa sistemas como Branding Indicators for Message Identification (BIMI), Verified Mark Certificate (VMC) e Domain-based Message Authentication, Reporting and Conformance (DMARC).
Google investiga a vulnerabilidade
Logo após identificar o bug no sistema de verificação de contas do Gmail, o engenheiro avisou o Google. A princípio, a gigante da tecnologia não reconheceu a vulnerabilidade, alegando que o mecanismo apresentava um “comportamento pretendido”.
Com a repercussão, a companhia de Mountain View voltou atrás e disse que está investigando uma suposta falha no método de certificação de contas, após “examinar mais de perto” os detalhes fornecidos. A empresa, no entanto, não divulgou informações sobre a origem do possível bug nem deu prazo para lançar uma correção, levando os usuários a redobrar a atenção para não cair em golpes de phishing.
Especialista em Redator
Jornalista formado pela PUC Minas, escreve para o TecMundo e o Mega Curioso desde 2019.
