Google объявил в начале апреля, что он запускает оптимизированный инструмент, который позволит бизнес-пользователям легко отправлять «сквозные зашифрованные» электронные письма-усилия по решению давней задачи добавления дополнительной защиты безопасности в сообщения электронной почты. Эта функция в настоящее время находится в бета -версии для предприятий, которые могут попробовать в своей собственной организации. Затем он будет расширяться, чтобы позволить пользователям Google Workspace отправлять сквозные зашифрованные электронные письма любому пользователю Gmail. К концу года эта функция позволит пользователям Workspace отправлять более безопасные электронные письма на любой почтовый ящик. Тем не менее, исследователи по электронной почте и цифровому мошенничеству предупреждают, что, хотя эта функция предоставит новую опцию для конфиденциальности и безопасности по электронной почте, она также неизбежно порождает новые фишинговые атаки.
Сквозное шифрование-это защита, которая постоянно держит данные, за исключением устройств отправителя и получателя, и его трудно добавить к историческому протоколу электронной почты. Механизмы для этого, как правило, очень сложные и дорогостоящие для реализации, и имеют смысл только для крупных организаций, пытающихся удовлетворить конкретные требования к соблюдению. Напротив, сквозной зашифрованный инструмент электронной почты Google прост в использовании и не требует значительных его накладных расходов. Сценарий, который, тем не менее, наиболее обеспокоен исследователями в цифровом мошенничестве, связан с случаем, когда пользователь Workspace отправляет зашифрованное электронное письмо с пользователем, не имеющим Gmail.
«Когда получатель не является пользователем Gmail, Gmail отправляет им приглашение просмотреть электронное письмо E2EE в ограниченной версии Gmail», – написал Google в блоге. «Затем получатель может использовать гостевую учетную запись Google Workspace для надежного просмотра и ответа на электронное письмо».
Страх состоит в том, что мошенники будут воспользоваться этим новым и более безопасным механизмом связи, создавая поддельные копии этих приглашений, которые содержат вредоносные ссылки, и предпринимают цели, чтобы ввести свои учетные данные для входа для их электронной почты, услуг для одного регистрации или других учетных записей.
«Глядя на реализацию Google, мы видим, что она представляет новый рабочий процесс для пользователей, не являющихся GMAIL,-обращая связь с ссылкой для просмотра электронной почты»,-говорит Жером Сегура, старший директор по интеллекту угроз в MalwareBytes. «Пользователи, возможно, еще не знакомы с тем, как выглядит законное приглашение, что делает их более восприимчивыми к нажатию на фальшивый».
Учитывая технические ограничения по электронной почте, Google создал способ для рабочей области организации автоматически управлять ключами – используется для описания зашифрованных сообщений. Управление ключами-это то, что делает сквозное шифрование электронной почты таким трудным, поэтому предложение для клиентов, которое легко для клиентов, является отходом от того, что в настоящее время доступно. Тот факт, что рабочее пространство организации управляет клавишами, а не хранение их локально на устройствах отправителя и получателя, означает, что эта функция не совсем соответствует комплексной шифровании в самом строгом смысле термина. Но исследователи говорят, что для таких вариантов использования, как соответствие бизнесу, инструмент все еще может быть чрезвычайно полезным. И люди, которые хотят сквозной зашифрованной связи, должны просто использовать специально построенное приложение, такое как сигнал.
Когда пользователи Gmail получают одно из новых зашифрованных электронных писем от пользователя Google Workspace, обширный массив динамических спам -фильтров и механизмов обнаружения мошенничества и механизмов обнаружения мошеннических Но пользователи электронной почты за пределами экосистемы Google также смогут получать зашифрованные приглашения по электронной почте, что предоставит услугу всем, но также оставит пользователей без Google на свои собственные устройства.
