في وقت سابق من هذا العام، بدأت خدمة Gmail في طرح علامات اختيار زرقاء لتحديد المرسلين الموثوق بهم. وسرعان ما وجد المحتالون طريقة لإخفاء رسائل البريد الإلكتروني العشوائية على أنها مُتحققة، وهو ما قالت Google إنها قامت بإصلاحه، لكن يبدو أن المشكلة لا تزال قائمة.
التحديث: 28/6/23
استجابت Google لاستفسارنا وأشارت، بعد النظر في الأمر، إلى أن البريد الإلكتروني كان أصليًا وأرسله شخص سيئ لديه حق الوصول إلى نظام Stripe. وسنقوم بتحديث هذه الملاحظة إذا تلقينا ردًا من Stripe، ونؤكد أن أفضل نهج للأمان هو الثقة في جميع الرسائل التي تتلقاها ولكن التحقق منها.
في شهر مايو/أيار الماضي، بدأ تطبيق Gmail في عرض علامات اختيار زرقاء بجوار المرسلين الذين تم التحقق من هويتهم حتى يسهل معرفة ما إذا كانت الرسالة شرعية أم لا. على سبيل المثال، إذا تلقيت تأكيد شحن من UPS ورأيت علامة الاختيار الزرقاء، فستعرف أنها من UPS الحقيقية وليس من المحتالين. لسوء الحظ، لا يلتزم المحتالون بالقواعد. تم العثور بسرعة على طريقة للالتفاف على النظام، وكان Gmail يعرض رمز التحقق في رسائل البريد الإلكتروني الاحتيالية.
أخبرت شركة جوجل موقع 9to5Google أن المشكلة كانت بسبب ثغرة أمنية لدى جهة خارجية، وبحلول نهاية الأسبوع الأول من شهر يونيو، ستطلب الشركة من المرسلين مصادقة DomainKeys Identified Mail (DKIM) لإظهار علامة الاختيار. كان من المفترض أن يمنع ذلك رسائل البريد الإلكتروني المزيفة من إظهار رموز التحقق، ولكن قد تظل هذه المشكلة قائمة.
تلقى أحد الأشخاص العاملين في How-To Geek رسالة بريد إلكتروني بدا أنها من Stripe، مع ظهور شعار Stripe ونطاق الويب الخاص بـ Stripe وعلامة الاختيار من Gmail في معلومات المرسل.
ومع ذلك، فإن الرسالة الخاصة بشراء Ethereum الذي لم يحدث، تحتوي أيضًا على إشارات إلى PayPal. لا يوجد اتصال بين Stripe وPayPal بأي شكل من الأشكال، باستثناء كونهما معالجين للدفع. كما أن رقم الدعم لـ PayPal في الرسالة (الذي قمنا بتعتيمه) ليس هو الرقم الرسمي المدرج في موقع دعم باي بالإنها رسالة بريد إلكتروني مقنعة إلى حد كبير في حد ذاتها، ويضيف رمز التحقق الخاص بـ Gmail المزيد من المصداقية.
لم يتضح بعد ما إذا كانت هذه ثغرة أمنية في نظام الرسائل الخاص بشركة Stripe (مثل عمليات الاحتيال في الفواتير التي كانت شائعة مع PayPal العام الماضي)، أو ما إذا كانت الرسالة قد أرسلها محتال ولم يلاحظها مرشح التحقق في Gmail. لقد تواصلنا مع Google وStripe للحصول على تعليق، وسنقوم بتحديث هذه المقالة عندما نتلقى ردًا. وفي غضون ذلك، تأكد من التحقق مرة أخرى من رسائل البريد الإلكتروني الاحتيالية المحتملة، حتى إذا صنفها Gmail على أنها جديرة بالثقة.