Let op: blauwe vinkjes in Gmail worden misbruikt
Blauwe vinkjes in Gmail helpen gebruikers vanaf begin mei spam te herkennen. In principe kunnen namelijk enkel geverifieerde bedrijven met Workspace-accounts zo’n vinkje krijgen. Hiervoor gebruikt Google het zogenaamde BIMI (Brand Indicators for Message Indication)-verificatiesysteem. Naast de blauwe vinkjes toont Gmail bij zulke e-mails het bedrijfslogo als profielfoto. Google heeft echter onvoldoende beveiligingsmaatregelen getroffen voor spamberichten van zulke domeinen, schrijft Chris Plummer.
Plummer, actief als beveiligingsspecialist in de IT-branche, schrijft op Twitter dat de BIMI-verificatie ook voor spamberichten gebruikt kan worden. De tweet bevat daarvan ook een voorbeeld, waarbij spammers het UPS-domein misbruiken om spam te versturen. Ondanks dat de mail niet verzonden werd door UPS, kreeg het wel een blauw vinkje én de profielfoto van de pakketverwerker.
‘We gaan het niet oplossen’
Gebruikers die het blauwe vinkje zien en het lastig vinden om spammails te herkennen, worden zo gemakkelijker om de tuin geleid door criminelen. Bovendien belanden mails met zo’n vinkje niet in de spammap, gezien de afzender door Google werd geverifieerd. De zoekgigant lijkt echter niet van plan het probleem op te lossen. Plummer diende naar eigen zeggen een ticket in bij de zoekgigant – een ticket dat niet veel later werd gesloten. Reden? “We gaan het niet oplossen, bedoelde werking.”
Inmiddels is het bedrijf wel teruggekomen van die beslissing, stelt de Twitteraar. Nadat het nieuws meer ruchtbaarheid kreeg heeft Google het ticket heropend én wordt het probleem onderzocht. De zoekgigant verontschuldigde zich daarbij voor de initiële reactie, en zegt Plummer op de hoogte te houden over de uitrol van een fix.
Enkel voor Gmail
Voorlopig is het nog ongeweten wanneer Google een oplossing uitrolt. Er wordt in ieder geval aan gewerkt. Vertrouw tot die tijd niet zomaar e-mails met blauwe vinkjes in je Gmail-mailbox. Hoewel zulke e-mails vermoedelijk van de juiste afzender komen, kan je daar niet geheel zeker van zijn.
Het probleem doet zich overigens enkel voor in Gmail. Het verificatiesysteem werkt voorlopig enkel binnen het Workspace-ecosysteem, waarbij betalende gebruikers verificatie kunnen aanvragen. Als consument is dat helaas nog niet mogelijk. Als consument krijg je de blauwe vinkjes uiteraard wel te zien. Dit werkt in zowel de mobiele als desktopversie van de maildienst.