Новый Gmail-инвайт: как одним кликом лишиться учётки

Google представила новый инструмент для отправки зашифрованных писем, который уже вызвал опасения среди специалистов по кибермошенничеству. Функция, пока доступная в бета-версии для корпоративных клиентов, позволяет пользователям Google Workspace отправлять защищённые сообщения со сквозным шифрованием. До конца года планируется расширить возможность обмена такими письмами на любые почтовые ящики, включая не-Gmail-адреса. Однако именно это расширение вызывает тревогу.

Сквозное шифрование предполагает, что доступ к содержимому письма имеют только отправитель и получатель, а данные находятся в зашифрованном виде на всём пути их передачи. В классическом виде реализовать такую защиту сложно: требуется продвинутая система управления ключами и технические знания, а потому подобные решения традиционно используются лишь крупными организациями с жёсткими требованиями к безопасности. Новый инструмент Google упрощает этот процесс и снижает нагрузку на IT-отделы, предлагая автоматизированное управление ключами на уровне всей организации.

Главная уязвимость кроется в сценарии, когда зашифрованное письмо отправляется не на Gmail-адрес. В таком случае получателю приходит приглашение просмотреть сообщение через гостевой аккаунт в ограниченной версии Gmail. Подобные письма сопровождаются предупреждением: «Будьте осторожны при входе, чтобы просмотреть это зашифрованное сообщение. Оно отправлено внешним отправителем. Убедитесь, что вы доверяете отправителю и его поставщику удостоверений».

Однако именно эта схема может стать удобным плацдармом для фишинга. Киберпреступники могут начать рассылку поддельных приглашений, маскируя их под оригинальные. Пользователь, не знакомый с новой функцией, рискует перейти по фальшивой ссылке и ввести свои логин и пароль от почты, корпоративной системы или других сервисов. Специалисты подчёркивают, что Google фактически создаёт новый канал, через который злоумышленники могут обмануть людей, не привыкших к подобному формату писем.

Сам факт того, что ключи шифрования находятся под управлением администрации Workspace, а не хранятся локально у отправителя и получателя, уже означает, что речь идёт не о настоящем сквозном шифровании в строгом понимании. Тем не менее, для целей соответствия нормативам и внутренних бизнес-процессов функция может оказаться полезной. Но для по-настоящему конфиденциальной переписки специалисты рекомендуют использовать специализированные приложения вроде Signal.

Google уверяет, что учла потенциальные угрозы при проектировании новой функции. По словам представителя компании, система оповещений построена аналогично той, что применяется при получении файлов через Google Drive. Однако история уже показала: подделка подобных уведомлений вне экосистемы Google — распространённая и труднопредотвращаемая практика.

Главная проблема заключается в доверии. Пользователи привыкли считать письма от Google безопасными и воспринимают фразу «зашифрованное сообщение» как знак высшей степени защиты. И это создаёт иллюзию безопасности, которой мошенники непременно воспользуются. Даже предупреждение в письме может не спасти: оно легко копируется и добавляется в фальшивые версии, а большинство получателей просто не обратит на него внимания.

По сути, Google оказалась перед выбором: либо включить возможность отправки зашифрованных писем всем, но с риском фишинга, либо ограничить её только пользователями Gmail. Компания выбрала первый вариант и добавила формальное предупреждение. Останется ли оно действенным барьером — покажет время. Пока же новая функция, несмотря на очевидные плюсы, открывает дополнительную дверь для атак, маскирующихся под заботу о безопасности.