Dich vụ thư điện tử Gmail dính lỗ hổng tick xanh, người dùng được cảnh báo nên đọc

Cụ thể, vào ngày 3/5/2023 (khoảng một tháng trước), Google đã ra mắt tính năng xác minh, nằm bên cạnh tên người gửi, để đảm bảo với người đọc rằng email từ người gửi này là đáng tin cậy.

Tuy nhiên, những kẻ lừa đảo đã tìm ra một giải pháp thay thế để có được nhãn hiệu mong muốn, cho phép chúng tạo địa chỉ giả từ các thương hiệu nổi tiếng. Sau đó, dùng những tài khoản giả có dấu tick xanh này để lừa người dùng cung cấp thông tin xác thực hoặc thanh toán.

Câu chuyện về lỗ hổng tick xanh

Cụ thể, trên trang Twitter của mình, Chris Plummer, một kiến trúc sư an ninh mạng cấp cao của Dartmouth Health, đã đăng như sau: (tạm dịch)

“Chắc chắn có một lỗi trong Gmail đang bị những kẻ lừa đảo lợi dụng, vì vậy tôi đã gửi lỗi tới @Google; nhưng họ đã đóng cửa ‘không khắc phục - hành vi có chủ đích’. Làm thế nào một kẻ lừa đảo có thể mạo danh @UPS một cách thuyết phục như vậy.”

Sau đó những tweet của Chris Plummer được lan truyền trên Twitter. Tiếp đó Google đã thay đổi ý kiến và trả lời email với nội dung như sau:

“Sau khi xem xét kỹ hơn, chúng tôi nhận ra rằng đây thực sự không phải là một lỗ hổng SPF chung chung. Vì vậy, chúng tôi đang mở lại vấn đề này và một nhóm thích hợp đang xem xét kỹ hơn những gì đang diễn ra.

Chúng tôi xin lỗi một lần nữa vì sự nhầm lẫn và chúng tôi hiểu rằng phản hồi ban đầu của chúng tôi có thể gây khó chịu, cảm ơn bạn rất nhiều vì đã nhấn mạnh vấn đề để chúng tôi xem xét kỹ hơn vấn đề này!

Chúng tôi sẽ thông báo cho bạn về đánh giá của chúng tôi và hướng giải quyết vấn đề này.”



Thông tin thêm về dấu tick xanh của Google

Dấu tick xanh được xây dựng dựa trên tính năng Brand Indicators for Message Identification (BIMI - tạm dịch là chỉ số thương hiệu để nhận dạng thư) hiện có của Gmail. Điều này yêu cầu các công ty xác thực rằng logo thương hiệu mà họ đang sử dụng làm hình đại diện email của họ phải cho người dùng biết rằng logo đó thực sự thuộc về họ. Các công ty đã áp dụng BIMI sẽ tự động nhận được dấu tick xanh.


Hình ảnh hiển thị thông tin về dấu tick xanh. (Nguồn: workspaceupdates.googleblog.com/)

Như được hiển thị trong hình ảnh do Google cung cấp, khi di chuột qua dấu tick xanh, chúng ta sẽ thấy thông tin là: “người gửi email này đã xác minh rằng họ sở hữu tài khoản google.com và ảnh hồ sơ mà họ đang sử dụng”.

Google lưu ý rằng xác thực email có thể giúp cả người dùng và hệ thống bảo mật “xác định và ngăn chặn thư rác” đồng thời cho phép người gửi “tận dụng niềm tin thương hiệu của họ”.

Giải pháp tạm thời trước khi có thông báo chính thức từ Google

Để hạn chế rủi ro, thì tạm thời giai đoạn này, người dùng Gmail nên tránh click vào những đường link từ các email của các thương hiệu mặc dù đã có dấu tick xanh từ Google.

Cũng như hạn chế cung cấp thông tin cá nhân và thực hiện các thanh toán từ các đường dẫn nhận được.