Eerder dit jaar begon Gmail met het uitrollen van blauwe vinkjes om vertrouwde afzenders te identificeren. Oplichters vonden snel een manier om spam-e-mails te verbergen als geverifieerd, wat volgens Google is opgelost, maar het probleem lijkt nog steeds aanwezig te zijn.
Update, 28-06-23: Google reageerde op ons onderzoek en gaf aan, na onderzoek van de zaak, dat de e-mail authentiek was en was verzonden door een kwaadwillende persoon met toegang tot het Stripe-systeem. We zullen deze notitie bijwerken als we van Stripe horen, en we beweren dat de beste benadering van beveiliging is om alle communicatie die u ontvangt te vertrouwen maar te verifiëren.
In mei begon Gmail blauwe vinkjes weer te geven naast geverifieerde afzenders, zodat het gemakkelijker zou zijn om te zien of een bericht legitiem was of niet. Als je bijvoorbeeld een verzendbevestiging van UPS hebt ontvangen en je ziet het blauwe vinkje, dan weet je dat het van de echte UPS is en niet van een oplichter. Helaas vonden oplichters snel een manier om het systeem te omzeilen en toonde Gmail het geverifieerde symbool op phishing-e-mails.
Google vertelde 9to5Google dat het probleem afhankelijk was van een beveiligingsprobleem van derden, en tegen het einde van de eerste week van juni zou het bedrijf DomainKeys Identified Mail (DKIM) -authenticatie van afzenders eisen om het vinkje te tonen. Dat had moeten voorkomen dat valse e-mails geverifieerde symbolen tonen, maar het kan nog steeds een probleem zijn.
Een persoon die bij How-To Geek werkte, ontving een e-mail die van Stripe leek te komen, met het Stripe-logo, het Stripe-webdomein en het vinkje van Gmail zichtbaar in de afzenderinformatie.
Het bericht voor een aankoop van Ethereum is echter niet gebeurd en bevat ook verwijzingen naar PayPal. Stripe en PayPal zijn op geen enkele manier met elkaar verbonden, behalve dat ze beide betalingsverwerkers zijn. Het ondersteuningsnummer voor PayPal in het bericht (dat we hebben vervaagd) is ook niet het officiële nummer dat op de ondersteuningssite van PayPal wordt vermeld. Het is op zichzelf al een behoorlijk overtuigende e-mail en het geverifieerde symbool van Gmail voegt meer geloofwaardigheid toe.
Het is niet duidelijk of dit een kwetsbaarheid is van het berichtensysteem van Stripe (zoals de factuurfraude die vorig jaar veel voorkwam bij PayPal), of dat het bericht is verzonden door een oplichter en onopgemerkt is gebleven door het verificatiefilter van Gmail. We hebben contact opgenomen met Google en Stripe voor commentaar, en we zullen dit artikel bijwerken wanneer en als we een reactie ontvangen. Zorg er in de tussentijd voor dat u mogelijke zwendel-e-mails dubbel controleert, zelfs als Gmail ze als betrouwbaar heeft gemarkeerd.
