O novo recurso de mensagens criptografadas do Gmail abre uma porta para golpes
O Google anunciou no início de abril que está lançando uma ferramenta simplificada que permitirá que os usuários de negócios enviem facilmente E-mails “de ponta a ponta”– Um esforço para enfrentar o desafio de longa data de adicionar proteções de segurança adicionais às mensagens de email. O recurso está atualmente na versão beta para os usuários corporativos experimentarem dentro de sua própria organização. Em seguida, ele se expandirá para permitir que os usuários do espaço de trabalho do Google enviem e-mails criptografados de ponta a ponta para qualquer usuário do Gmail. Até o final do ano, o recurso permitirá que os usuários do espaço de trabalho enviem os e -mails mais seguros para qualquer caixa de entrada. Os pesquisadores de spam de e -mail e fraude digital alertam, no entanto, que, embora o recurso forneça uma nova opção para privacidade e segurança por email, ele também gerará inevitavelmente novos ataques de phishing.
A criptografia de ponta a ponta é uma proteção que mantém os dados mexidos o tempo todo, exceto nos dispositivos do remetente e do destinatário, e é difícil adicionar ao protocolo de email histórico. Os mecanismos para fazê -lo são tipicamente muito complicados e caros de implementar e fazem sentido apenas para grandes organizações que tentam atender aos requisitos específicos de conformidade. Por outro lado, a ferramenta de email criptografada de ponta a ponta do Google é simples de usar e não requer uma sobrecarga significativa. O cenário com o qual os pesquisadores de fraude digital estão mais preocupados se refere ao caso em que um usuário da área de trabalho envia um email criptografado de ponta a ponta para um usuário que não seja do Gmail.
“Quando o destinatário não é um usuário do Gmail, o Gmail envia um convite para visualizar o email do E2EE em uma versão restrita do Gmail”, escreveu o Google em uma postagem no blog. “O destinatário pode usar uma conta do espaço de trabalho do Google Guest para visualizar e responder com segurança ao email.”
O medo é que os golpistas aproveitem esse novo e mais seguro mecanismo de comunicação, criando cópias falsas desses convites que contêm links maliciosos e solicitam metas para inserir suas credenciais de login para seus e-mails, serviços de assinatura única ou outras contas.
“Olhando para a implementação do Google, podemos ver que ela apresenta um novo fluxo de trabalho para usuários que não são do Gmail-recebendo um link para visualizar um email”, diz Jérôme Segura, diretor sênior de inteligência de ameaças da MalwareBytes. “Os usuários ainda não estão familiarizados com exatamente como é um convite legítimo, tornando -os mais suscetíveis a clicar em um falso”.
Dadas as limitações técnicas do email, o Google criou uma maneira de o espaço de trabalho de uma organização gerenciar automaticamente as chaves – usadas para descrever mensagens criptografadas. O gerenciamento de chaves é o que torna o e-mail de capitão de ponta a ponta tão difícil, portanto, oferecer uma solução fácil para os clientes é um afastamento do que está disponível atualmente. O fato de o espaço de trabalho da organização controlar as chaves, em vez de armazená -las localmente em um remetente e dispositivos do destinatário, significa que o recurso Não se qualifica como criptografia de ponta a ponta no sentido mais estrito do termo. Mas os pesquisadores dizem que, para casos de uso, como a conformidade dos negócios, a ferramenta ainda pode ser extremamente útil. E os indivíduos que desejam comunicações criptografadas de ponta a ponta devem usar apenas um aplicativo criado para fins específicos.
Quando os usuários do Gmail recebem um dos novos e -mails criptografados de um usuário do Google Workspace, a extensa gama de filtros dinâmicos de spam e mecanismos de detecção de fraude estará em jogo para proteger de maneira ampla para proteger contra spam, phishing e impostores desonestos. Mas os usuários de email fora do ecossistema do Google também poderão receber convites de e-mail criptografados, o que disponibiliza o serviço a qualquer pessoa, mas também deixará os usuários que não são do Google por seus próprios dispositivos.
