Robinhood-Kunden erhielten dieses Wochenende besonders überzeugende Phishing-E-Mails. Die Nachrichten, die scheinbar direkt vom Unternehmen stammten, verfügten über authentifizierte Header, waren korrekt signiert, enthielten eine echte Absenderadresse, wurden von einem authentischen E-Mail-Server gesendet und wurden nicht von Spamfiltern abgefangen.
Schlimmer noch: Die E-Mail von [email protected] wurde von Gmail sogar automatisch in dieselben Konversationsthreads wie legitime, frühere Sicherheitswarnungen von Robinhood einsortiert.
Das Einzige, was an der E-Mail betrügerisch war, waren obskure technische Unregelmäßigkeiten und ihr Inhalt – ein Phishing-Handlungsaufruf, der nach Login-Informationen suchte.
Am Sonntagabend nutzten Hacker Robinhoods eigene Benachrichtigungspipeline, um ihren Angriff durchzuführen.
Die Analyse des Exploits verbreitete sich kurz darauf viral in den sozialen Medien.
Robinhood-Phishing-E-Mails waren „irgendwie schön"
Der Sicherheitsforscher Abdel Sabbah veröffentlichte eine Analyse des Ereignisses und nannte es „irgendwie schön" mit einer unheilvollen Konnotation. Leider hatte er recht.
Um den Angriff zu gestalten, nutzte der Hacker zunächst den Gmail-„Punkt-Trick", eine bekannte Google-Funktion, bei der Gmail [email protected], [email protected] und [email protected] an denselben Posteingang weiterleitet.
Gmail ignoriert im Gegensatz zum Rest des Internets Punkte im Teil der Adresse vor dem @-Symbol, sodass alle diese Varianten im selben Posteingang ankommen.
Da Robinhood im Gegensatz zu Gmail die Varianten mit Punkten nicht normalisiert, verwendete ein Angreifer eine mit „Punkt" modifizierte Version von Robinhoods legitimen Kunden-E-Mails.
Als nächstes setzte der Angreifer den Gerätenamen des neuen Kontos auf einen Block rohen HTML-Codes. Wenn Robinhoods E-Mail zu „nicht erkannter Aktivität" generiert wird, fügt die Vorlage diesen Gerätenamen ein, ohne ihn zu bereinigen, und rendert so das schädliche HTML.
Das Ergebnis war laut Sabbah das, was wie „eine echte E-Mail von [email protected], DKIM bestanden, SPF bestanden, DMARC bestanden, mit einem Phishing-CTA" aussah.
Dieser CTA oder „Call to Action" ist natürlich eine gefälschte Sicherheitsbenachrichtigungs-E-Mail mit einem Hyperlink zu einer vom Angreifer kontrollierten Webseite, die Login-Daten und Zwei-Faktor-Authentifizierungscodes abgreift.
Das ultimative Ziel war es, wie bei fast allen Phishing-Kampagnen, das Geld der Kunden zu stehlen – in diesem Fall von ihrem Robinhood-Konto.
Mehr lesen: Robinhood zahlt 605 Mio. USD für den Kauf von Sam Bankman-Frieds Anteil
Denken Sie nach, bevor Sie auf eine E-Mail klicken
Viele Krypto-Influencer warnten die Menschen vor den überzeugenden E-Mails.
Ripples David Schwartz verstärkte die Warnung. „Alle E-Mails, die Sie erhalten und die scheinbar von Robinhood stammen (und tatsächlich von deren E-Mail-System stammen könnten), sind Phishing-Versuche", postete er. Sabbah's Thread zitierend, fügte Schwartz hinzu: „Es ist ziemlich hinterhältig."
Im April 2025 dokumentierte Nick Johnson, leitender Entwickler des Ethereum Name Service, einen nahezu identischen Exploit mit E-Mails, die scheinbar von Google selbst gesendet wurden.
Angreifer nutzten eine ähnliche Reihe von Tricks, um Googles eigene Infrastruktur zu verwenden, um DKIM-signierte Phishing-E-Mails von [email protected] zuzustellen.
Die Lehre von damals ist die Lehre von heute: Seien Sie vorsichtig beim Klicken auf Links in E-Mails, egal wie authentisch sie erscheinen mögen.
Traditionelle Anti-Phishing-Ratschläge sagen Nutzern, sie sollen die Absenderdomain prüfen und nach Authentifizierungsfehlern suchen. Nichts davon half hier. Die Domain sah echt aus. Die Signaturen sahen echt aus. Nur die Absicht war kriminell.
Robinhoods eigene Betrugshinweise sagen Kunden, sie sollen die E-Mail-Domain des Absenders verifizieren, und führen @robinhood.com als authentisches Beispiel an.
Protos wandte sich an Robinhood für einen Kommentar, erhielt jedoch vor dem Veröffentlichungszeitpunkt keine Antwort. Im heutigen Nasdaq-Handel eröffnete die Stammaktie von Robinhood unverändert gegenüber dem Schlusskurs vom Freitag.
Haben Sie einen Tipp? Senden Sie uns eine E-Mail sicher über Protos Leaks. Für mehr fundierte Neuigkeiten folgen Sie uns auf X, Bluesky und Google News, oder abonnieren Sie unseren YouTube-Kanal.
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
