Vor gut einem Monat hat Google eine zusätzliche Sicherheit für GMail angekündigt, mit der sich vertrauenswürdige Absender erkennen lassen, was sowohl für Nutzer als auch Unternehmen von Vorteil sein kann. Schon kurz darauf ist es Scammern gelungen, dieses System zu umgehen und sich selbst als vertrauenswürdig zu markieren. Google hat schnell reagiert und schraubt nun die Anforderungen hoch.
Um vertrauenswürdige Absender zu markieren und deren E-Mails hervorzuheben, hat GMail erst vor wenigen Wochen die blauen Haken eingeführt, die die Sicherheit im wichtigen E-Mail-Verkehr erhöhen sollen. Eigentlich sollte das System sicher sein, doch Scammern ist auf einem unbekannten Weg dennoch gelungen, dieses System zu knacken. Ein Nutzer berichtet davon, dass eine angeblich von UPS stammende E-Mail mit Logo und blauen Haken gezeigt wurde. Problem: Die E-Mail war nicht von UPS.
There is most certainly a bug in Gmail being exploited by scammers to pull this off, so I submitted a bug which @google lazily closed as “won’t fix – intended behavior”. How is a scammer impersonating @UPS in such a convincing way “intended”. pic.twitter.com/soMq7KraHm
— plum (@chrisplummer) June 1, 2023
Google hatte das Problem zunächst ignoriert und als „beabsichtigtes Verhalten“ eingestuft, später dann aber doch zurückgerudert und die Problembeschreibung erneut geöffnet. In einem daraufhin veröffentlichten Statement heißt es, dass das Problem bei einem Drittanbieter entstanden ist und man nun die Richtlinien ändert, um auf ein robusteres DomainKeys Identified Mail-System (DKIM) zu setzen. Hoffen wir, dass das Problem damit schnell aus der Welt geschafft ist.
Dieses Problem ist auf eine Sicherheitslücke bei einem Drittanbieter zurückzuführen, die es Angreifern ermöglicht, vertrauenswürdiger zu wirken, als sie tatsächlich sind. Um die Sicherheit der Benutzer zu gewährleisten, verlangen wir von den Absendern, dass sie den robusteren Authentifizierungsstandard DomainKeys Identified Mail (DKIM) verwenden, um sich für den Status „Markenindikatoren für die Nachrichtenidentifizierung“ (blaues Häkchen) zu qualifizieren.