Google mengumumkan pada awal April bahwa mereka akan meluncurkan alat yang lebih efisien yang akan memungkinkan pengguna bisnis untuk dengan mudah mengirim email yang “dienkripsi end-to-end”—sebuah upaya untuk mengatasi tantangan yang berkepanjangan dalam menambahkan perlindungan keamanan tambahan ke pesan email. Fitur ini saat ini dalam versi beta untuk pengguna enterprise mencoba di dalam organisasi mereka sendiri. Kemudian akan diperluas untuk memungkinkan pengguna Google Workspace mengirim email yang dienkripsi end-to-end ke pengguna Gmail mana pun. Pada akhir tahun, fitur ini akan memungkinkan pengguna Workspace untuk mengirim email yang lebih aman ke inbox mana pun. Peneliti spam email dan penipuan digital memperingatkan, meskipun, bahwa sementara fitur ini akan memberikan opsi baru untuk privasi dan keamanan email, itu juga akan menghasilkan serangan phishing baru.
Enkripsi end-to-end adalah perlindungan yang menjaga data teracak sepanjang waktu kecuali di perangkat pengirim dan penerima, dan sulit untuk ditambahkan ke protokol email historis. Mekanisme untuk melakukannya biasanya sangat rumit dan mahal untuk diimplementasikan dan hanya masuk akal untuk organisasi besar yang mencoba memenuhi persyaratan kepatuhan tertentu. Sebaliknya, alat email yang dienkripsi end-to-end dari Google mudah digunakan dan tidak memerlukan overhead TI yang signifikan. Namun, skenario yang paling dikhawatirkan oleh peneliti penipuan digital terkait dengan kasus di mana pengguna Workspace mengirim email yang dienkripsi end-to-end ke pengguna non-Gmail.
“Ketika penerima bukan pengguna Gmail, Gmail mengirimkan undangan kepada mereka untuk melihat email E2EE dalam versi terbatas dari Gmail,” tulis Google dalam sebuah pos blog. “Penerima kemudian dapat menggunakan akun Google Workspace tamu untuk melihat dan membalas email dengan aman.”
Ketakutan ini adalah bahwa penipu akan memanfaatkan mekanisme komunikasi yang lebih baru dan lebih aman ini dengan membuat salinan palsu dari undangan tersebut yang berisi tautan berbahaya, dan mendorong target untuk memasukkan kredensial login mereka untuk email mereka, layanan sign-on tunggal, atau akun lainnya.
“Melihat implementasi Google’s, kita bisa melihat bahwa ini memperkenalkan alur kerja baru bagi pengguna non-Gmail—menerima tautan untuk melihat email,” kata Jérôme Segura, direktur senior threat intelligence di Malwarebytes. “Pengguna mungkin belum familiar dengan bagaimana undangan yang sah terlihat, membuat mereka lebih rentan terhadap mengklik yang palsu.”
Diberikan keterbatasan teknis email, Google menciptakan cara bagi Workspace organisasi untuk secara otomatis mengelola kunci—yang digunakan untuk mendekripsi pesan yang dienkripsi. Manajemen kunci adalah yang membuat mengenkripsi email end-to-end begitu sulit, jadi menawarkan solusi yang mudah bagi pelanggan adalah suatu hal yang berbeda dari yang saat ini tersedia. Fakta bahwa Workspace organisasi mengendalikan kunci daripada menyimpannya secara lokal di perangkat pengirim dan penerima berarti bahwa fitur tersebut tidak sepenuhnya memenuhi syarat sebagai enkripsi end-to-end dalam arti yang paling ketat. Namun peneliti mengatakan bahwa untuk kasus penggunaan seperti kepatuhan bisnis, alat tersebut masih bisa sangat berguna. Dan individu yang ingin berkomunikasi yang dienkripsi end-to-end sebaiknya menggunakan aplikasi yang dibuat khusus seperti Signal.
Ketika pengguna Gmail menerima salah satu email terenkripsi yang baru dari pengguna Google Workspace, sejumlah filter spam dinamis dan mekanisme deteksi penipuan Google akan berperan untuk melindungi terhadap spam, phishing, dan penipu nakal secara luas. Namun pengguna email di luar ekosistem Google juga akan dapat menerima undangan email terenkripsi, yang membuat layanan tersedia untuk siapa pun, tetapi juga akan meninggalkan pengguna non-Google untuk menggunakan perangkat mereka sendiri.