في وقت سابق من هذا العام ، بدأ Gmail في طرح علامات اختيار زرقاء لتحديد المرسلين الموثوق بهم. سرعان ما وجد المحتالون طريقة لإخفاء رسائل البريد الإلكتروني العشوائية على أنها تم التحقق منها ، والتي قالت Google إنها تم حلها ، ولكن يبدو أن المشكلة لا تزال قائمة.
تحديث ، 6/28/23: ردت Google على استفسارنا وأشارت ، بعد النظر في الأمر ، إلى أن البريد الإلكتروني كان أصليًا وأرسله ممثل سيء لديه إمكانية الوصول إلى نظام Stripe. سنقوم بتحديث هذه الملاحظة إذا سمعنا من Stripe ، ونؤكد أن أفضل نهج للأمان هو الوثوق والتحقق من جميع الاتصالات التي تتلقاها.
مرة أخرى في مايو ، بدأ Gmail في إظهار علامات اختيار زرقاء بجوار المرسلين الذين تم التحقق منهم حتى يكون من الأسهل معرفة ما إذا كانت الرسالة شرعية أم لا. على سبيل المثال ، إذا تلقيت تأكيدًا للشحن من UPS ورأيت علامة الاختيار الزرقاء ، فستعلم أنه من UPS الحقيقي وليس محتالًا. لسوء الحظ ، المحتالون سرعان ما وجدت طريقة للتغلب على النظام، وكان Gmail يعرض رمز التحقق على رسائل البريد الإلكتروني المخادعة.
قال جوجل 9to5Google أن المشكلة تعتمد على ثغرة أمنية لجهة خارجية ، وبحلول نهاية الأسبوع الأول من شهر يونيو ، ستطلب الشركة مصادقة البريد المعرف بمفاتيح المجال (DKIM) من المرسلين لإظهار علامة الاختيار. كان من المفترض أن يمنع ذلك رسائل البريد الإلكتروني المزيفة من إظهار رموز تم التحقق منها ، لكنها قد تظل مشكلة.
تلقى شخص واحد يعمل في How-To Geek بريدًا إلكترونيًا يبدو أنه من Stripe ، مع ظهور شعار Stripe ومجال ويب Stripe وعلامة اختيار من Gmail في معلومات المرسل.
ومع ذلك ، فإن رسالة شراء Ethereum لم تحدث ، وتحتوي أيضًا على إشارات إلى PayPal. لا يرتبط Stripe و PayPal بأي شكل من الأشكال ، باستثناء أنهما كلاهما معالجي دفع. رقم الدعم الخاص بـ PayPal في الرسالة (الذي قمنا بتعتيمه) ليس هو الرقم الرسمي المدرج أيضًا موقع دعم PayPal. إنه بريد إلكتروني مقنع جدًا من تلقاء نفسه ، ويضيف رمز التحقق من Gmail مزيدًا من المصداقية.
ليس من الواضح ما إذا كانت هذه ثغرة أمنية في نظام المراسلة في Stripe (مثل عمليات الاحتيال على الفواتير التي كانت شائعة مع PayPal العام الماضي) ، أو إذا تم إرسال الرسالة من قبل محتال وذهبت دون أن يلاحظها أحد بواسطة عامل تصفية التحقق في Gmail. لقد تواصلنا مع Google و Stripe للتعليق ، وسنقوم بتحديث هذه المقالة عندما نتلقى ردًا أو إذا تلقينا ردًا. في غضون ذلك ، تأكد من التحقق مرة أخرى من رسائل البريد الإلكتروني الاحتيالية المحتملة ، حتى إذا كان Gmail قد حددها على أنها جديرة بالثقة.