O alerta de segurança do Gmail confuso do Google se parece exatamente com uma tentativa de phishing

Os pesquisadores de segurança dizem que o e-mail legítimo está treinando as pessoas para ter uma higiene inadequada do e-mail.

  • Imagem: sabbracadabra / Shutterstock

    Na semana passada, meu parceiro recebeu um alerta de e-mail estranho do Google - ou pelo menos parecia que vinha do Google.

    arte de pingue-pongue cometa

    Alarmada e confusa, ela imediatamente me encaminhou.



    O que o quê? ela escreveu no e-mail.



    Meu parceiro não é um geek de segurança como eu, mas tive a mesma reação quando o vi. Tanto quando ela me encaminhou na semana passada, quanto quando Recebi um alerta idêntico hoje .

    Examinando mais de perto, eu tinha certeza de que era um alerta legítimo do Google. O endereço de e-mail do remetente é no-reply@accounts.google.com , e o próprio Gmail me diz que foi enviado por gaia.bounces.google.com e assinado por accounts.google.com. Como repórter de segurança, esses são sinais de que o e-mail é legítimo. Mas os usuários regulares podem não saber onde procurar ou como interpretá-los.



    Ainda assim, não éramos os únicos perplexos e um pouco preocupados com isso.

    Várias pessoas no Twitter me disseram que sentiram o mesmo quando o receberam: alguns pensaram que era suspeito , ou diretamente para cima um e-mail de phishing .

    Richard De Vere, consultor de segurança especializado em engenharia social, disse que, embora o e-mail do Google que recebemos não seja uma tentativa de phishing, é tão bom em atrair as pessoas para clicar em um link que ele planeja adicioná-lo a seu folheto de bons ataques de phishing para usá-lo em seus compromissos de hacking ético.



    Tem urgência, orienta para uma página de login, bastante vago, mas alarmante ... costumávamos pegar e-mails legítimos do Google e nos adaptar, mas está perfeito como está. [...] É muito bom, ele twittou. Imperdoável para o Google enviar isso em massa.

    Consulte Mais informação: O guia da placa-mãe para não ser hackeado

    Nesse caso, de acordo com o Google, os alertas são projetados para fazer com que os usuários percorram o muito útil e fácil de usar, verificação de segurança , que ajuda os usuários a configurar a autenticação de dois fatores, verificar se algum aplicativo antigo tem acesso à conta e revisar eventos de segurança incomuns, como logins de novos dispositivos.

    A empresa me disse que esse alerta é o resultado de meses de experimentos, e essa versão do alerta teve o melhor engajamento (ou seja, as pessoas realmente abriram e clicaram nele). Não há especificações porque a empresa queria evitar dar dicas aos hackers sobre o que havia de errado com a conta, e a empresa concluiu que o clique extra necessário para chegar ao checkup era um recurso de segurança neste caso.

    Harlo Holmes, um instrutor de segurança digital da fundação Freedom of The Press, me disse que o design deste alerta por e-mail reforça o erro do usuário ao clicar em links de phishing. Na verdade, esse alerta pode muito bem estar treinando as pessoas para clicar em links aleatórios enviados para seus e-mails. Nesse caso, o e-mail é legítimo, mas geralmente é esse tipo de comportamento que as pessoas usam para fazer phishing.

    o que é uma princesa de travesseiro

    Tem uma dica? Você pode entrar em contato com este repórter com segurança no Signal em +1 917 257 1382, bate-papo OTR em lorenzo@jabber.ccc.de ou e-mail lorenzo@motherboard.tv

    Holmes frisou que quando alguém recebe um alerta como este, a coisa certa a fazer é primeiro respirar fundo e, em seguida, abrir uma nova janela do navegador e digitar manualmente e navegar até as configurações do serviço em questão (neste caso, para myaccount.google.com/security-checkup ) e veja o que está acontecendo lá, sem nunca clicar no link do e-mail.

    brittney spears vma 2007

    Eles estão caminhando sobre uma linha tênue aqui: se sua conta for comprometida, eles não querem dar ao seu invasor muitas informações específicas sobre como, Holmes me disse em um bate-papo online. Eles apenas fornecem informações suficientes para, com sorte, chamar sua atenção.

    Matt Mitchell, um especialista em segurança que ensina pessoas comuns a se manterem seguras online, concorda que esse alerta é mal projetado.

    Tenho certeza de que o usuário agora em pânico só quer saber o que fazer, ele me disse em um bate-papo online. Uma boa segurança começa com bom senso. Os usuários se comportarão mal, precisamos nos responsabilizar e nos planejar para isso.

    O Google tem sido historicamente muito proativo em ajudar os usuários a melhorar suas configurações de segurança e alertá-los sobre ataques a suas contas. Em 2012, a empresa começou a alertar os usuários que foram alvos de tentativas de hack do governo. Para evitar mal-entendidos, esses alertas não vêm por e-mail, mas são exibidos no navegador.

    Dadoo quanto os hackers adoram fingir ser o Googleenganar as vítimas paradistribuindo suas senhas, talvez esse também tivesse sido um design melhor para esse alerta.

    Obtenha seis das nossas histórias favoritas da placa-mãe todos os dias inscrevendo-se no nosso boletim informativo.

    Artigos Interessantes