O Google anunciou no início de abril que está lançando uma ferramenta simplificada que permitirá aos usuários empresariais enviar facilmente e-mails “end-to-end criptografados” – um esforço para lidar com o desafio constante de adicionar proteções de segurança adicionais às mensagens de e-mail. A funcionalidade está atualmente em beta para usuários empresariais experimentarem dentro de sua própria organização. Posteriormente, ela se expandirá para permitir que os usuários do Google Workspace enviem e-mails end-to-end criptografados para qualquer usuário do Gmail. Até o final do ano, a funcionalidade permitirá que os usuários do Workspace enviem e-mails mais seguros para qualquer caixa de entrada. Pesquisadores de spam de e-mail e fraude digital alertam, no entanto, que, embora a funcionalidade forneça uma nova opção para a privacidade e segurança de e-mails, inevitavelmente também gerará novos ataques de phishing.
A criptografia end-to-end é uma proteção que mantém os dados embaralhados o tempo todo, exceto nos dispositivos do remetente e do destinatário, sendo difícil de ser adicionada ao protocolo de e-mail histórico. Os mecanismos para isso geralmente são muito complicados e custosos para implementar e só fazem sentido para grandes organizações que tentam atender a requisitos específicos de conformidade. Em contraste, a ferramenta de e-mail end-to-end criptografado do Google é simples de usar e não requer um alto custo de TI significativo. No entanto, os pesquisadores de fraude digital estão mais preocupados com o cenário em que um usuário do Workspace envia um e-mail end-to-end criptografado para um usuário não do Gmail.
“Quando o destinatário não for um usuário do Gmail, o Gmail enviará a eles um convite para visualizar o e-mail E2EE em uma versão restrita do Gmail”, escreveu o Google em um post no blog. “O destinatário pode então usar uma conta de visitante do Google Workspace para visualizar e responder ao e-mail de forma segura.”
O medo é que golpistas explorem esse novo mecanismo de comunicação mais seguro criando cópias falsas desses convites que contenham links maliciosos e solicitem que os alvos insiram suas credenciais de login de e-mail, serviços de logon único ou outras contas.
“Analisando a implementação do Google, podemos ver que ela introduz um novo fluxo de trabalho para usuários não do Gmail – recebendo um link para visualizar um e-mail”, diz Jérôme Segura, diretor sênior de inteligência de ameaças da Malwarebytes. “Os usuários podem ainda não estar familiarizados com exatamente como se parece um convite legítimo, tornando-os mais propensos a clicar em um falso.”
Dadas as limitações técnicas do e-mail, o Google criou uma maneira para o Workspace de uma organização gerenciar automaticamente as chaves – usadas para decifrar mensagens criptografadas. O gerenciamento de chaves é o que torna a criptografia end-to-end de e-mail tão difícil, então oferecer uma solução fácil para os clientes é algo diferente do que está disponível atualmente. O fato de o Workspace da organização controlar as chaves em vez de armazená-las localmente nos dispositivos do remetente e do destinatário significa que a funcionalidade não se qualifica exatamente como criptografia end-to-end no sentido mais restrito do termo. No entanto, os pesquisadores afirmam que, para usos como conformidade empresarial, a ferramenta ainda pode ser extremamente útil. E indivíduos que desejam comunicações criptografadas end-to-end devem usar um aplicativo específico como o Signal.
Quando os usuários do Gmail recebem um dos novos e-mails criptografados de um usuário do Google Workspace, a extensa variedade de filtros dinâmicos de spam e mecanismos de detecção de fraudes do Google estará atuando para proteger contra spam, phishing e impostores fraudulentos de forma ampla. Mas os usuários de e-mail fora do ecossistema do Google também poderão receber convites de e-mail criptografados, o que torna o serviço disponível para qualquer pessoa, mas também deixará os usuários não-Google por conta própria.
