Clienții Robinhood au primit în acest weekend e-mailuri de phishing deosebit de convingătoare. Mesajele, care păreau să provină direct de la companie, aveau anteturi autentificate, erau semnate corect, includeau o adresă reală a expeditorului, erau trimise de pe un server de e-mail autentic și nu au fost reținute de filtrele de spam.
Mai mult, e-mailul de la [email protected] a fost chiar direcționat automat de Gmail în aceleași fire de conversație ca alertele de securitate anterioare și legitime de la Robinhood.
Singurele lucruri frauduloase din e-mail erau nereguli tehnice obscure și conținutul acestuia, un îndemn la acțiune de tip phishing care solicita informații de autentificare.
Până duminică seară, hackerii au folosit propriul canal de notificări al Robinhood pentru a-și lansa atacul.
Analiza exploitului a devenit virală pe rețelele de socializare la scurt timp după aceea.
E-mailurile de phishing Robinhood erau „cumva frumoase"
Cercetătorul în securitate Abdel Sabbah a publicat o analiză a evenimentului, numindu-l „cumva frumos" cu o conotație sinistră. Din păcate, avea dreptate.
Pentru a concepe atacul, hackerul a folosit mai întâi „trucul punctului" din Gmail, o funcție Google bine cunoscută prin care Gmail direcționează [email protected], [email protected] și [email protected] către aceeași căsuță de e-mail.
Gmail, spre deosebire de restul internetului, ignoră punctele din partea adresei dinaintea simbolului @, astfel încât toate variantele sunt livrate în aceeași căsuță de e-mail.
Deoarece Robinhood, spre deosebire de Gmail, nu normalizează variantele cu punct, un atacator a folosit o versiune modificată cu „punct" a e-mailurilor legitime ale clienților Robinhood.
Apoi, atacatorul a setat numele dispozitivului pe noul cont la un bloc de HTML brut. Când e-mailul de „activitate nerecunoscută" al Robinhood este generat, șablonul inserează acel nume de dispozitiv fără a-l sanitiza, randând HTML-ul malițios.
Rezultatul, în cuvintele lui Sabbah, era ceea ce părea a fi „un e-mail real de la [email protected], DKIM pass, SPF pass, DMARC pass, cu un CTA de phishing."
Acel CTA sau „îndemn la acțiune" este, desigur, un e-mail fals de alertă de securitate cu un hyperlink către o pagină web controlată de atacator care colectează credențiale de autentificare și coduri de autentificare cu doi factori.
Scopul final, ca în aproape toate campaniile de phishing, era să fure banii clienților — în acest caz, din contul lor Robinhood.
Citește mai mult: Robinhood plătește 605 milioane de dolari pentru a cumpăra participația lui Sam Bankman-Fried
Gândește-te înainte să dai click pe orice e-mail
Mulți influenceri crypto au avertizat oamenii cu privire la e-mailurile convingătoare.
David Schwartz de la Ripple a amplificat avertismentul. „Orice e-mailuri primiți care par să fie de la Robinhood (și pot fi de fapt din sistemul lor de e-mail) sunt tentative de phishing," a postat el. Citând firul lui Sabbah, Schwartz a adăugat: „Este destul de viclean."
În aprilie 2025, Nick Johnson, dezvoltatorul principal al Ethereum Name Service, a documentat un exploit aproape identic implicând e-mailuri care păreau trimise chiar de Google.
Atacatorii au folosit o serie similară de trucuri pentru a utiliza propria infrastructură a Google pentru a livra e-mailuri de phishing semnate DKIM de la [email protected].
Lecția de atunci este lecția de acum: aveți grijă să nu dați click pe niciun link din niciun e-mail, indiferent cât de autentic pare.
Sfaturile tradiționale anti-phishing le spun utilizatorilor să verifice domeniul expeditorului și să caute eșecuri de autentificare. Nimic din toate acestea nu a ajutat aici. Domeniul părea real. Semnăturile păreau reale. Doar intenția era criminală.
Propriul ghid anti-înșelăciune al Robinhood le spune clienților să verifice domeniul de e-mail al expeditorului și listează @robinhood.com ca exemplu autentic.
Protos a contactat Robinhood pentru un comentariu, dar nu a primit un răspuns înainte de momentul publicării. În tranzacționarea Nasdaq de astăzi, acțiunile ordinare ale Robinhood au deschis fără modificări față de prețul de închidere de vineri.
Ai un pont? Trimite-ne un e-mail în siguranță prin Protos Leaks. Pentru știri mai informate, urmărește-ne pe X, Bluesky și Google News, sau abonează-te la canalul nostru de YouTube.
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
