Het nieuwe verificatiesysteem met blauwe vinkjes van Gmail debuteerde minder dan een maand geleden en was ontworpen om bedrijven te helpen hun marketingmails te verifiëren en als legitiem te onderscheiden. De effectiviteit van het systeem blijft echter minder succesvol dan geambieerd.
Vorige week onthulde Chris Plummer, een senior cybersecurity architect voor Dartmouth Health, op Twitter een kwetsbaarheid in de blauwe vinkjes van Gmail. Hierdoor is het mogelijk om deze badges te vervalsen.
Het verificatieproces is gebaseerd op Brand Indicators for Message Identification(BIMI), DMARC (Domain-based Message Authentication, Reporting, and Conformance) en een Verified Mark Certificate (VMC) dat is uitgegeven door vertrouwde certificeringsinstanties zoals Entrust of DigiCert. Deze maatregelen zijn bedoeld om zowel het logo als het bijbehorende domein te verifiëren.
Schadeloosstelling voor Plummer
Plummer onthult niet welke specifieke methoden oplichters gebruiken om het systeem te omzeilen. Hij geeft echter een voorbeeld van een e-mail van een oplichter. Deze gebruikte het UPS logo en een domein met “ups.com” om een officiële e-mail met vinkje te imiteren.
Deze onthulling is verontrustend, vooral omdat een initieel bugrapport van Plummer door Google werd afgedaan als “intended behaviour”. Het bedrijf kwam uiteindelijk echter terug op zijn standpunt en heropende het probleem, waardoor er ruimte ontstond voor mogelijke oplossingen, zij het zonder een gespecificeerde tijdslijn.
Hoewel een verificatiesysteem als dit aanzienlijke voordelen zou kunnen bieden, blijven scammers hardnekkig op zoek naar kwetsbaarheden.
Wijzigingen zullen worden doorgevoerd
In reactie op de situatie heeft Google een verklaring vrijgegeven waarin het uitlegt dat het probleem voortkomt uit een kwetsbaarheid van een derde partij. Daarnaast staat er dat verzenders zich nu moeten houden aan de robuustere verificatiestandaard DomainKeys Identified Mail (DKIM) om in aanmerking te komen voor blauwe vinkjes.
Deze nieuwe vereiste zal aan het eind van de week worden geïmplementeerd.
Dit incident benadrukt de voortdurende strijd tussen beveiligingsmaatregelen en vastberaden oplichters. Ondanks de tegenslag is de toewijding van Google aan de veiligheid van gebruikers duidelijk te zien in de inspanningen om het probleem snel aan te pakken en het verificatieproces te verbeteren.