Новый инструмент шифрования в Gmail может стать лазейкой для фишинга

Google начала тестирование функции отправки зашифрованных писем с использованием сквозного шифрования для пользователей корпоративной платформы Workspace. Хотя идея повысить безопасность электронной переписки выглядит логично, реализация инструмента вызывает тревогу у специалистов по кибербезопасности.

Новинка позволяет организациям отправлять защищенные письма, причём к концу года компания планирует открыть доступ к шифрованным сообщениям и для внешних адресов — в том числе тех, что не принадлежат Gmail. Именно эта возможность может создать дополнительную уязвимость.

Если письмо отправляется на сторонний e-mail, получатель получает инвайт в виде ссылки, ведущей на гостевой интерфейс Gmail, где предлагается просмотреть зашифрованное сообщение. Google сопровождает письмо предупреждением: «Будьте осторожны при входе…», но этого недостаточно, считают эксперты. Новый формат писем легко копируется — и уже сейчас выглядит как идеальный шаблон для фишинговых атак.

Киберпреступники могут подделывать такие письма и ссылки, маскируя их под легитимные приглашения. Пользователи, не знакомые с работой шифрования, будут склонны доверять сообщению просто потому, что оно «от Google». Особенно опасно это для сотрудников компаний, где Gmail используется как основная платформа.

К тому же, как подчеркивают специалисты, в новой системе ключи шифрования управляются не пользователем, а администрацией Workspace. Это делает шифрование не полностью независимым, в отличие от решений вроде Signal или ProtonMail, где контроль остаётся у отправителя и получателя.

Google утверждает, что учитывает возможные сценарии злоупотреблений. По словам компании, система уведомлений построена по принципу, аналогичному обмену файлами в Google Drive. Но в реальности подделка таких приглашений — уже давно отработанный прием в арсенале фишеров.