Os clientes do Robinhood receberam alguns e-mails de phishing particularmente convincentes este fim de semana. As mensagens, que pareciam vir diretamente da empresa, apresentavam cabeçalhos autenticados, estavam corretamente assinadas, incluíam um endereço de remetente genuíno, foram enviadas a partir de um servidor de e-mail autêntico e não foram detetadas pelos filtros de spam.
Pior ainda, o e-mail proveniente de [email protected] chegou mesmo a ser automaticamente encaminhado pelo Gmail para as mesmas conversas que os alertas de segurança legítimos e anteriores do Robinhood.
Os únicos aspetos fraudulentos do e-mail eram irregularidades técnicas pouco evidentes e o seu conteúdo: um apelo à ação de phishing com o objetivo de obter informações de início de sessão.
Na noite de domingo, os hackers utilizaram o próprio pipeline de notificações do Robinhood para executar o ataque.
A análise do exploit tornou-se viral nas redes sociais pouco depois.
Os e-mails de phishing do Robinhood eram 'de certa forma belos'
O investigador de segurança Abdel Sabbah publicou uma análise do evento, classificando-o como "de certa forma belo" com uma conotação sinistra. Infelizmente, tinha razão.
Para conceber o ataque, o hacker utilizou primeiro o "truque do ponto" do Gmail, uma funcionalidade bem conhecida da Google pela qual o Gmail encaminha [email protected], [email protected] e [email protected] para a mesma caixa de entrada.
O Gmail, ao contrário do resto da internet, ignora os pontos na parte do endereço antes do símbolo @, pelo que todas essas variantes são entregues na mesma caixa de entrada.
Como o Robinhood, ao contrário do Gmail, não normaliza as variantes com pontos, um atacante utilizou uma versão modificada com "ponto" dos e-mails legítimos dos clientes do Robinhood.
De seguida, o atacante definiu o nome do dispositivo na nova conta como um bloco de HTML em bruto. Quando o e-mail de "atividade não reconhecida" do Robinhood é gerado, o modelo insere esse nome de dispositivo sem o sanitizar, processando o HTML malicioso.
O resultado, nas palavras de Sabbah, era o que parecia ser "um e-mail real proveniente de [email protected], com DKIM aprovado, SPF aprovado, DMARC aprovado, com um CTA de phishing."
Esse CTA ou "apelo à ação" é, naturalmente, um e-mail de alerta de segurança falso com uma hiperligação para uma página web controlada pelo atacante que recolhe credenciais de início de sessão e códigos de autenticação de dois fatores.
O objetivo final, tal como em quase todas as campanhas de phishing, era roubar o dinheiro dos clientes — neste caso, da sua conta Robinhood.
Ler mais: O Robinhood paga 605 milhões de dólares para comprar a participação de Sam Bankman-Fried
Pense antes de clicar em qualquer e-mail
Muitos influenciadores de criptomoedas alertaram as pessoas sobre os e-mails convincentes.
David Schwartz, da Ripple, amplificou o aviso. "Todos os e-mails que receber que pareçam ser do Robinhood (e que podem realmente ser do sistema de e-mail deles) são tentativas de phishing", publicou. Citando o tópico de Sabbah, Schwartz acrescentou: "É bastante astucioso."
Em abril de 2025, o Desenvolvedor Principal do Ethereum Name Service, Nick Johnson, documentou um exploit quase idêntico envolvendo e-mails que pareciam ser enviados pela própria Google.
Os atacantes utilizaram uma série semelhante de truques para usar a própria infraestrutura da Google para enviar e-mails de phishing assinados por DKIM a partir de [email protected].
A lição de então é a lição de agora: tenha cuidado ao clicar em qualquer hiperligação em qualquer e-mail, independentemente de quão autêntico pareça.
Os conselhos tradicionais anti-phishing dizem aos utilizadores para verificarem o domínio do remetente e procurarem falhas de autenticação. Nada disso ajudou aqui. O domínio parecia real. As assinaturas pareciam reais. Apenas a intenção era criminosa.
O próprio guia de proteção contra fraudes do Robinhood diz aos clientes para verificarem o domínio de e-mail do remetente e lista @robinhood.com como o exemplo autêntico.
A Protos contactou o Robinhood para comentário, mas não recebeu resposta antes do horário de publicação. Nas negociações da Nasdaq hoje, as ações ordinárias do Robinhood abriram sem alterações em relação ao fecho de sexta-feira.
Tem uma dica? Envie-nos um e-mail de forma segura através da Protos Leaks. Para notícias mais informadas, siga-nos no X, Bluesky e Google News, ou subscreva o nosso canal no YouTube.
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
