تلقى عملاء Robinhood بعض رسائل الاحتيال الإلكتروني المقنعة بشكل خاص هذا الأسبوع. بدت الرسائل وكأنها صادرة مباشرةً من الشركة، وتضمنت ترويسات موثقة، وتوقيعات صحيحة، وعنوان مرسل حقيقي، وأُرسلت من خادم بريد إلكتروني أصيل، ولم تُرصد بواسطة فلاتر البريد المزعج.
والأسوأ من ذلك، أن البريد الإلكتروني الصادر من [email protected] نجح حتى في الاندراج ضمن خيوط المحادثات ذاتها في Gmail التي تضم تنبيهات الأمان السابقة والمشروعة من Robinhood.
الأشياء الاحتيالية الوحيدة في البريد الإلكتروني كانت بعض الشذوذات التقنية الغامضة ومحتواه، إذ تضمن دعوةً للاحتيال الإلكتروني تستهدف الحصول على معلومات تسجيل الدخول.
بحلول مساء الأحد، استخدم القراصنة قناة الإشعارات الخاصة بـ Robinhood لتنفيذ هجومهم.
وسرعان ما انتشر تحليل الثغرة المُستغلة على وسائل التواصل الاجتماعي.
رسائل الاحتيال الإلكتروني من Robinhood كانت 'جميلة نوعاً ما'
نشر باحث الأمن عبد الصباح تحليلاً للحادثة، واصفاً إياها بأنها "جميلة نوعاً ما" بدلالة شريرة. وللأسف، كان محقاً في ذلك.
لتنفيذ الهجوم، استخدم القرصان أولاً "خدعة النقطة" في Gmail، وهي ميزة معروفة من Google تجعل Gmail يوجّه [email protected] و[email protected] و[email protected] إلى صندوق الوارد ذاته.
Gmail، خلافاً لبقية الإنترنت، يتجاهل النقاط في جزء العنوان قبل رمز @، لذا تصل جميع هذه المتغيرات إلى صندوق الوارد نفسه.
ولأن Robinhood، خلافاً لـ Gmail، لا تُعيّر متغيرات النقاط، استخدم المهاجم نسخةً معدّلة بـ"نقطة" من رسائل البريد الإلكتروني المشروعة لعملاء Robinhood.
بعد ذلك، قام المهاجم بتعيين اسم الجهاز في الحساب الجديد ليكون كتلة من كود HTML خام. وعند إنشاء بريد "نشاط غير معروف" من Robinhood، تقوم القالب بإدراج اسم الجهاز دون تنقية، مما يُصيّر كود HTML الخبيث.
والنتيجة، بحسب كلمات الصباح، هي ما بدا "بريداً إلكترونياً حقيقياً من [email protected]، اجتاز DKIM، واجتاز SPF، واجتاز DMARC، ويتضمن دعوة للاحتيال الإلكتروني."
وهذه الدعوة بالطبع هي بريد إلكتروني مزيف لتنبيه أمني يتضمن رابطاً تشعبياً لصفحة ويب يتحكم فيها المهاجم، تهدف إلى حصد بيانات تسجيل الدخول ورموز المصادقة الثنائية 2FA.
الهدف النهائي، كما هو الحال في جميع حملات الاحتيال الإلكتروني تقريباً، هو سرقة أموال العملاء — في هذه الحالة من حسابهم في Robinhood.
اقرأ المزيد: Robinhood تدفع 605 مليون دولار لشراء حصة Sam Bankman-Fried
فكّر قبل أن تنقر على أي بريد إلكتروني
حذّر كثير من المؤثرين في عالم الكريبتو الناس من هذه الرسائل المقنعة.
ضخّم David Schwartz من Ripple التحذير قائلاً: "أي رسائل بريد إلكتروني تتلقاها تبدو وكأنها من Robinhood (وقد تكون فعلاً من نظام بريدهم) هي محاولات للاحتيال الإلكتروني." ومقتبساً من موضوع الصباح، أضاف Schwartz: "إنها ماكرة جداً."
في أبريل 2025، وثّق المطور الرئيسي لخدمة Ethereum Name Service نيك جونسون ثغرةً شبه مطابقة تضمنت رسائل بريد إلكتروني بدت وكأنها مُرسلة من Google نفسها.
استخدم المهاجمون سلسلة مماثلة من الحيل للاستفادة من البنية التحتية لـ Google ذاتها لتسليم رسائل احتيال إلكتروني موقّعة بـ DKIM من [email protected].
الدرس آنذاك هو الدرس الآن: احذر من النقر على أي رابط في أي بريد إلكتروني، بغض النظر عن مدى أصالته الظاهرة.
النصائح التقليدية لمكافحة التصيد تخبر المستخدمين بالتحقق من نطاق المرسل والبحث عن إخفاقات المصادقة. لم يُجدِ أيٌّ من ذلك نفعاً هنا. بدا النطاق حقيقياً. بدت التوقيعات حقيقية. النية وحدها كانت إجرامية.
إرشادات Robinhood الخاصة بمكافحة الاحتيال تطلب من العملاء التحقق من نطاق البريد الإلكتروني للمرسل وتدرج @robinhood.com مثالاً أصيلاً.
تواصلت Protos مع Robinhood للتعليق لكنها لم تتلقَّ رداً قبل وقت النشر. في تداولات Nasdaq اليوم، فتح سهم Robinhood العادي مستقراً مقارنةً بسعر إغلاق الجمعة.
هل لديك نصيحة؟ أرسل لنا بريداً إلكترونياً بأمان عبر Protos Leaks. لمزيد من الأخبار المدروسة، تابعنا على X، Bluesky، وGoogle News، أو اشترك في قناة YouTube الخاصة بنا.
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
