Le spunte blu di Gmail sono state già bucate dai truffatori | Wired Italia

È passato appena un mese da quando Google ha introdotto su Gmail gli account verificati dotati di spunta blu, così da garantire ai destinatari delle email che i loro mittenti sono più che affidabili ed evitare truffe di ogni genere. Ma gli sforzi del colosso tecnologico, a quanto pare, non sono serviti a nulla, perché i cybercriminali sono già riusciti a trovare il modo per accaparrarsi la spunta blu, creare indirizzi falsi legati a marchi famosi e indurre gli utenti a fornirgli pagamenti e/o credenziali personali. Un problema di cui Google è già stato informata, anche se sembra non abbia fatto nulla per risolvere la questione.

A mettere in evidenza la fragilità del sistema è stato Chris Plummer, un esperto di sicurezza informatica per l’azienda Dartmouth Health, che non ha specificato la causa reale del problema, ma si è semplicemente limitato a condividere lo screen di un indirizzo email che utilizzava illegalmente una spunta blu, fingendosi il corriere UPS. “Si tratta di un problema relativo a una vulnerabilità nella sicurezza delle terze parti”, ha dichiarato Google facendo intendere che la responsabilità potrebbe dipendere dai sistemi BIMI, DMARC (Domain-based Message Authentication, Reporting, and Conformance) e VMC (Verified Mark Certificate) impiegati nel controllo della spunta blu verificata.

“Qualsiasi server di posta condiviso o configurato in modo errato nei record SPF [Sender Policy Framework] di un dominio abilitato BIMI può essere un vettore per l’invio di messaggi contraffatti”, ha scritto l’ingegnere Jonathan Rudenberg sul suo blog, che ha chiaramente confermato che anche altri client di posta elettronica hanno recentemente avuto, o hanno ancora, problemi simili con il loro sistema di indirizzi e-mail “verificati” con autenticazione BIMI, tra cui Microsoft 365 e Apple Mail. La vulnerabilità sembra essere piuttosto comune, ma gli esperti di sicurezza sono molto preoccupati per la sorte degli 1,8 miliardi di utenti Google, già messi in allerta riguardo agli impostori che tentano di rubare denaro e password.