Vous ne pouvez toujours pas faire confiance aux coches vérifiées dans Gmail
Plus tôt cette année, Gmail a commencé à déployer des coches bleues pour identifier les expéditeurs de confiance. Les escrocs ont rapidement trouvé un moyen de déguiser les e-mails de spam comme vérifiés, ce que Google a déclaré résolu, mais le problème semble toujours être présent.
En mai, Gmail a commencé à afficher des coches bleues à côté des expéditeurs vérifiés, afin qu’il soit plus facile de savoir si un message était légitime ou non. Par exemple, si vous avez reçu une confirmation d’expédition d’UPS et que vous avez vu la coche bleue, vous saurez qu’il s’agit du véritable UPS et non d’un arnaqueur. Malheureusement, les escrocs ont rapidement trouvé un moyen de contourner le système et Gmail affichait le symbole vérifié sur les e-mails de phishing.
Google a dit 9to5Google que le problème reposait sur une vulnérabilité de sécurité tierce, et d’ici la fin de la première semaine de juin, la société exigerait l’authentification DomainKeys Identified Mail (DKIM) des expéditeurs pour afficher la coche. Cela aurait dû empêcher les faux e-mails d’afficher des symboles vérifiés, mais cela pourrait toujours être un problème.
Une personne travaillant chez How-To Geek a reçu un e-mail qui semblait provenir de Stripe, avec le logo Stripe, le domaine Web Stripe et la coche de Gmail visibles dans les informations de l’expéditeur.
Cependant, le message pour un achat d’Ethereum qui ne s’est pas produit, et il contient également des références à PayPal. Stripe et PayPal ne sont en aucun cas connectés, sauf qu’ils sont tous deux des processeurs de paiement. Le numéro d’assistance de PayPal dans le message (que nous avons estompé) n’est pas non plus le numéro officiel indiqué sur le site d’assistance de PayPal. C’est un e-mail assez convaincant en soi, et le symbole vérifié de Gmail ajoute plus de crédibilité.
Il n’est pas clair s’il s’agit d’une vulnérabilité du système de messagerie de Stripe (comme les escroqueries aux factures qui étaient courantes avec PayPal l’année dernière), ou si le message a été envoyé par un escroc et est passé inaperçu par le filtre de vérification de Gmail. Nous avons contacté Google et Stripe pour obtenir des commentaires, et nous mettrons à jour cet article lorsque ou si nous recevons une réponse. En attendant, assurez-vous de vérifier les e-mails frauduleux potentiels, même si Gmail les a marqués comme dignes de confiance.