Gmail-инвайт: один клик — и вы без аккаунта

Gmail пообещал шифрование, а открыл фишерам доступ к ящикам

Google представила инструмент для отправки зашифрованных писем, доступный пока в бета-версии для корпоративных клиентов Workspace. До конца года планируется поддержка отправки таких писем на любые адреса, включая внешние. Именно эта новинка вызвала тревогу у специалистов по кибербезопасности.

Хотя функция предлагает сквозное шифрование и автоматическое управление ключами, при отправке письма на не-Gmail-адрес получатель получает приглашение просмотреть сообщение через гостевой аккаунт. Это сообщение сопровождается предупреждением, но сама схема даёт кибермошенникам возможность подделывать такие письма и красть логины, маскируясь под Google.

Ключи шифрования хранятся у администратора Workspace, а не у пользователя — значит, это не настоящее сквозное шифрование в классическом понимании. И хотя для бизнеса это может быть удобно, для конфиденциальной переписки эксперты советуют использовать более надёжные решения, вроде Signal.

Google уверяет, что приняла меры безопасности, но практика показывает: фальшивые уведомления — обычное дело. Пользователи по привычке доверяют письмам от Google и фразам вроде «зашифрованное сообщение», что создаёт ложное чувство безопасности. Это может обернуться новой волной фишинга — теперь под видом заботы о защите данных.