Plus tôt cette année, Gmail a commencé à déployer des coches bleues pour identifier les expéditeurs de confiance. Les escrocs ont rapidement trouvé un moyen de déguiser les spams en messages vérifiés, ce que Google a déclaré résolu, mais le problème semble toujours être présent.
Mise à jour, 28/06/23 : Google a répondu à notre demande et a indiqué, après avoir examiné la question, que l’e-mail était authentique et envoyé par un mauvais acteur ayant accès au système Stripe. Nous mettrons à jour cette note si nous entendons parler de Stripe, et nous maintenons que la meilleure approche en matière de sécurité est de faire confiance mais de vérifier toutes les communications que vous recevez.
En mai, Gmail a commencé à afficher des coches bleues à côté des expéditeurs vérifiés afin qu’il soit plus facile de savoir si un message était légitime ou non. Par exemple, si vous avez reçu une confirmation d’expédition d’UPS et que vous avez vu la coche bleue, vous saurez qu’il s’agit du véritable UPS et non d’un arnaqueur. Malheureusement, les escrocs ont rapidement trouvé un moyen de contourner le système et Gmail affichait le symbole vérifié sur les e-mails de phishing.
Google a dit 9to5Google que le problème reposait sur une vulnérabilité de sécurité tierce, et d’ici la fin de la première semaine de juin, la société exigerait l’authentification DomainKeys Identified Mail (DKIM) des expéditeurs pour afficher la coche. Cela aurait dû empêcher les faux e-mails d’afficher des symboles vérifiés, mais cela pourrait toujours être un problème.
Une personne travaillant chez How-To Geek a reçu un e-mail qui semblait provenir de Stripe, avec le logo Stripe, le domaine Web Stripe et la coche de Gmail visibles dans les informations de l’expéditeur.
Cependant, le message pour un achat d’Ethereum qui ne s’est pas produit, et il contient également des références à PayPal. Stripe et PayPal ne sont en aucun cas connectés, sauf qu’ils sont tous deux des processeurs de paiement. Le numéro d’assistance de PayPal dans le message (que nous avons estompé) n’est pas non plus le numéro officiel indiqué sur le site d’assistance de PayPal. C’est un e-mail assez convaincant en soi, et le symbole vérifié de Gmail ajoute plus de crédibilité.
Il n’est pas clair s’il s’agit d’une vulnérabilité du système de messagerie de Stripe (comme les escroqueries aux factures qui étaient courantes avec PayPal l’année dernière), ou si le message a été envoyé par un escroc et est passé inaperçu par le filtre de vérification de Gmail. Nous avons contacté Google et Stripe pour obtenir des commentaires, et nous mettrons à jour cet article lorsque ou si nous recevons une réponse. En attendant, assurez-vous de vérifier les e-mails frauduleux potentiels, même si Gmail les a marqués comme dignes de confiance.