Gmail şu anda dünyanın en tanınan ve en çok güvenilen e-posta servisi. Bunda elbette Google’ın yıllardır sunduğu özellikler ve çeşitli güvenlik iyileştirmelerinin hissesi büyük. Spam e-postalarını anında otomatik olarak yakalayabilmesi ve kullanıcıları hackerlara karşı muhafazası Google’ın muazzam bir iş çıkardığını gösteriyor.
Bu emele katkıda bulunmak için de Google, 4 Mayıs’ta Twitter Blue’ya emsal yeni bir mavi onay işareti güvenlik özelliğini tanıtmıştı. Bu mavi gösterge özgün şirketlerden gelen e-postaların yanında görünmesi gerekirken son çıkan savlar dolandırıcıların bu işe de bir el attığı tarafında.
Gmail’in mavi tikine güvenmeyin
Google’ın sunduğu bu güvenlik güzelleştirmesinin şirketlerin özgün e-posta hesaplarını ayırt etmesi beklenirken bu özelliğin bir açığının bulunup berbat emeller için kullanıldığı ortaya çıktı. O denli ki araştırmacı Chris Plummer hackerların bu özelliği berbata kullanabileceğini gösterdi. Bir şirketin resmi logosunu ve Gmail onay işaretini içeren geçersiz e-postalar gelen kutunuza düşebilir:
Gelen kutunuza düşen bu mail, UPS şirketinden gelmiş üzere görünüyor lakin işin arkaplanı bu halde değil. Bunun geçersiz bir e-posta olduğunu domain kısmından anlayabilirsiniz. Şayet UPS yahut rastgele bir kargo firmasından bu biçimde uydurma e-postalar alırsanız sizden adres üzere bilgilerinizi isteyebilirler. Bunları kesinlikle vermemelisiniz.
Hackerlar sizin adresinizi, doğum tarihinizi ve bunun üzere özel bilgilerinizi bu e-postalarla çalmaya çalışabilirler ve bunun yeni metodu de üstte gördüğünüz üzere bir şirket ismine e-posta göndermek.
Google ise hususla ilgili şu açıklamaları yaptı:
Yakından baktıktan sonra bunun genel bir SPF güvenlik açığı olmadığını fark ettik. Bu nedenle bu hususla daha yakından uğraşıyoruz ve uygun grup neler olup bittiğine bakıyor.
Google’ın bu sorunun ne vakit üstesinden geleceği bilinmiyor. O vakte kadar Gmail’de görünen mavi onay işaretlerine güvenmemelisiniz. Gönderen adresinin kuşkulu görünüp görünmediğine her vakit bakın. Gmail’den kimseye özel bilgilerinizi vermeyin ve emin olmadığınız hesaplarda şirketleri arayarak müşteri hizmetlerine danışın.
Peki sizler bu güvenlik açığı hakkında neler düşünüyorsunuz? Fikirlerinizi yorumlar kısmında bizimle paylaşmayı ihmal etmeyin.
