Anfang des Jahres begann Gmail mit der Einführung blauer Häkchen, um vertrauenswürdige Absender zu identifizieren. Betrüger haben schnell einen Weg gefunden, Spam-E-Mails als verifiziert zu tarnen, was laut Google behoben wurde, aber das Problem scheint immer noch vorhanden zu sein.
Bereits im Mai zeigte Gmail neben verifizierten Absendern blaue Häkchen an, damit leichter erkennbar war, ob eine Nachricht legitim war oder nicht. Wenn Sie beispielsweise eine Versandbestätigung von UPS erhalten haben und das blaue Häkchen sehen, wissen Sie, dass es sich um eine echte UPS und nicht um einen Betrüger handelt. Leider Betrüger schnell einen Weg gefunden, das System zu umgehenund Gmail zeigte in Phishing-E-Mails das verifizierte Symbol an.
Google hat es erzählt 9to5Google dass das Problem auf einer Sicherheitslücke eines Drittanbieters beruhte und dass das Unternehmen bis Ende der ersten Juniwoche von den Absendern eine DomainKeys Identified Mail (DKIM)-Authentifizierung verlangen würde, um das Häkchen anzuzeigen. Das hätte verhindern sollen, dass gefälschte E-Mails verifizierte Symbole anzeigen, aber es könnte immer noch ein Problem sein.
Eine Person, die bei How-To Geek arbeitete, erhielt eine E-Mail, die offenbar von Stripe stammte, wobei in den Absenderinformationen das Stripe-Logo, die Stripe-Webdomäne und ein Häkchen von Gmail sichtbar waren.
Die Meldung besagt jedoch, dass ein Kauf von Ethereum nicht stattgefunden hat und sie enthält auch Hinweise auf PayPal. Stripe und PayPal sind in keiner Weise miteinander verbunden, außer dass sie beide Zahlungsabwickler sind. Die Supportnummer für PayPal in der Nachricht (die wir unkenntlich gemacht haben) ist ebenfalls nicht die offizielle Nummer, die dort aufgeführt ist Support-Seite von PayPal. Für sich genommen ist es eine ziemlich überzeugende E-Mail, und das Verifizierungssymbol von Gmail erhöht die Glaubwürdigkeit.
Es ist nicht klar, ob es sich hierbei um eine Schwachstelle im Nachrichtensystem von Stripe handelt (wie bei den Rechnungsbetrügereien, die letztes Jahr bei PayPal häufig vorkamen) oder ob die Nachricht von einem Betrüger gesendet wurde und vom Verifizierungsfilter von Gmail unbemerkt blieb. Wir haben Google und Stripe um einen Kommentar gebeten und werden diesen Artikel aktualisieren, sobald wir eine Antwort erhalten. Überprüfen Sie in der Zwischenzeit unbedingt mögliche Betrugs-E-Mails noch einmal, auch wenn Gmail sie als vertrauenswürdig markiert hat.