Securityorganisatie Avanan ziet een stijging in het misbruik van een emailfunctie in Google Docs. Google Docs biedt een opvallende gemakkelijke manier om antispamtools te omzeilen en slachtoffers te phishen.

Google Docs maakt het mogelijk om met comments op teksten te reageren. Door een @ met een mailadres in een comment te plaatsen verstuurt Google een mail naar het adres. De functie is riskant. Google verzendt de mail op eigen naam. De mail wordt opgemaakt in de huisstijl van de organisatie. De volledige inhoud van een comment wordt getoond. Dit maakt het mogelijk om kwaadaardige links en websites op naam van Google te versturen. Avanan stelt dat dergelijke berichten in december 2021 door 500 Gmail-accounts werden ontvangen.

Niets nieuws

De techniek wordt sinds 2020 gebruikt. Google is op de hoogte van het probleem en probeerde de functie in 2020 te beperken. Tevergeefs, want misbruik blijft mogelijk. Omdat Google de mails op eigen naam verstuurt kunnen cybercriminelen antispammaatregelen omzeilen.

Google heeft nog niet op het recente misbruik gereageerd. We testten de mailfunctie vandaag. Alles werkt naar behoren. Het is mogelijk dat Google geen grote aanpassingen wil doorvoeren. Misbruik is kleinschalig en de functie doet precies wat het moet.

Tegelijkertijd is de oplossing zo simpel als een duidelijke disclaimer in geautomatiseerde mails. Op dit moment maakt Google niet duidelijk dat de inhoud van de mail van een onbetrouwbare afzender kan komen. Gebruikers zijn overgelaten aan bewustzijn. Dat kan beter.