В мае 2023 года Google наконец ввела систему Brand Indicators for Message Identification (BIMI - индикаторы бренда для идентификации сообщений) в почтовом сервисе Gmail. По задумке, возле имени отправителя должна появиться "галочка", наведя на которую, пользователь мог прочитать, что отправитель этого письма подтверждает, что он владеет сайтом и логотипом.
![.](https://image.matomba.ru/files/50/34/cd/4f/21a19353586dfcca525edf3a1387791b.png)
Источник:Workspaceupdates googleblog. Знак BIMI возле имени отправителя.
Задача такой системы понятна - понять, где реальное письмо, а где имитация от злоумышленников с вредоносными ссылками.
Вам пришло письмо от скаммера
Но не получилось - кибермошенники не дремлют. Недавно инженер по кибербезопасности Крис Пламмер обнаружил, что мошенники научились использовать BIMI для своих мошеннических писем. Некто присвоил себе знак United Parcel Service (UPS) - компании, связанной с экспресс-доставкой и логистикой.
![.](https://image.matomba.ru/files/7f/99/8f/53/2a2807bd589d9f73386577bfe53efeaf.png)
Скриншот твита Криса Пламмера.
Сначала Google не приняли ошибку во внимание, но теперь они присвоили багу наивысший приоритет. Пока Google не исправит ситуацию, система BIMI будет нерабочей, поэтому хакеры и спамеры будут использовать её для обмана.
Что это было?
Исследователи все же узнали как мошенникам удается обходить систему безопасности. Джонатан Руденберг опубликовал запись на форуме infosec. exchange начавшуюся с шуточной фразы "увеличь ценность вашего бренда":
"Это означает, что любой общий или неправильно сконфигурированный почтовый сервер в SPF-записях домена с поддержкой BIMI может стать отправителем поддельных сообщений с полной обработкой BIMI в Gmail. До сегодняшнего дня существовала конфигурация Microsoft 365, которая с радостью пересылала сообщения с поддельным адресом RFC5321.MailFrom (envelope) без изменений, что позволяло подделывать сообщения с любого из 775 доменов, которые поддерживают BIMI и разрешают outlook.com в их SPF."Также, Руденберг подчеркнул, что BIMI используется для следующих сервисов ICloud, Yahoo, Fastmail, Apple Mail+Fastmail. Получается, что из-за использования той же системы пользователям последних двух систем надо быть особенно бдительными.