ลูกค้า Robinhood ได้รับอีเมลฟิชชิ่งที่น่าเชื่อถืออย่างยิ่งในช่วงสุดสัปดาห์นี้ ข้อความเหล่านั้นดูเหมือนส่งมาจากบริษัทโดยตรง มีส่วนหัวที่ผ่านการรับรองความถูกต้อง ลงนามอย่างถูกต้อง มีที่อยู่ผู้ส่งที่แท้จริง ถูกส่งจากเซิร์ฟเวอร์อีเมลจริง และไม่ถูกกรองสแปมจับได้
ยิ่งกว่านั้น อีเมลจาก [email protected] ยังได้รับการจัดเส้นทางอัตโนมัติจาก Gmail เข้าสู่เธรดการสนทนาเดียวกับการแจ้งเตือนความปลอดภัยที่ถูกต้องก่อนหน้าจาก Robinhood อีกด้วย
สิ่งเดียวที่เป็นการฉ้อโกงในอีเมลนี้คือความผิดปกติทางเทคนิคที่ซับซ้อนและเนื้อหา ซึ่งเป็นการกระตุ้นให้ดำเนินการแบบฟิชชิ่งเพื่อขโมยข้อมูลการเข้าสู่ระบบ
ในคืนวันอาทิตย์ แฮกเกอร์ใช้ระบบท่อส่งการแจ้งเตือนของ Robinhood เองเพื่อดำเนินการโจมตี
การวิเคราะห์ช่องโหว่ดังกล่าวแพร่กระจายอย่างรวดเร็วบนโซเชียลมีเดียในเวลาไม่นานหลังจากนั้น
อีเมลฟิชชิ่ง Robinhood 'สวยงามในแบบหนึ่ง'
นักวิจัยด้านความปลอดภัย Abdel Sabbah ได้โพสต์การวิเคราะห์เหตุการณ์ดังกล่าว โดยเรียกมันว่า "สวยงามในแบบหนึ่ง" ด้วยนัยที่น่าขนลุก น่าเสียดายที่เขาพูดถูก
เพื่อสร้างการโจมตี แฮกเกอร์ใช้ "dot trick" ของ Gmail ก่อน ซึ่งเป็นฟีเจอร์ที่รู้จักกันดีของ Google ที่ Gmail จะส่ง [email protected], [email protected] และ [email protected] ไปยังกล่องจดหมายเดียวกัน
Gmail ต่างจากอินเทอร์เน็ตส่วนอื่น ๆ ตรงที่ไม่สนใจจุดในส่วนของที่อยู่ก่อนสัญลักษณ์ @ ดังนั้นรูปแบบต่าง ๆ เหล่านั้นจะส่งไปยังกล่องจดหมายเดียวกันทั้งหมด
เนื่องจาก Robinhood ต่างจาก Gmail ไม่ได้ทำให้รูปแบบที่มีจุดเป็นมาตรฐาน ผู้โจมตีจึงใช้รูปแบบอีเมลลูกค้าที่ถูกต้องของ Robinhood ที่ถูกแก้ไขด้วย "จุด"
จากนั้น ผู้โจมตีตั้งชื่ออุปกรณ์บนบัญชีใหม่เป็นบล็อก HTML ดิบ เมื่ออีเมล "กิจกรรมที่ไม่รู้จัก" ของ Robinhood ถูกสร้างขึ้น เทมเพลตจะแทรกชื่ออุปกรณ์นั้นโดยไม่กรองข้อมูล ทำให้ HTML ที่เป็นอันตรายถูกแสดงผล
ผลลัพธ์ตามคำพูดของ Sabbah คือสิ่งที่ดูเหมือน "อีเมลจริงจาก [email protected], DKIM pass, SPF pass, DMARC pass พร้อม phishing CTA"
CTA หรือ "call to action" นั้น แน่นอนว่าคืออีเมลแจ้งเตือนความปลอดภัยปลอมที่มีไฮเปอร์ลิงก์ไปยังหน้าเว็บที่ผู้โจมตีควบคุมซึ่งเก็บเกี่ยวข้อมูลการเข้าสู่ระบบและรหัสการยืนยันตัวตนสองปัจจัย
เป้าหมายสูงสุด เช่นเดียวกับแคมเปญฟิชชิ่งเกือบทั้งหมด คือการขโมยเงินของลูกค้า — ในกรณีนี้จากบัญชี Robinhood ของพวกเขา
อ่านเพิ่มเติม: Robinhood จ่าย 605 ล้านดอลลาร์เพื่อซื้อหุ้นของ Sam Bankman-Fried
คิดก่อนคลิกลิงก์ในอีเมลใด ๆ
อินฟลูเอนเซอร์คริปโตหลายคนเตือนผู้คนเกี่ยวกับอีเมลที่น่าเชื่อถือเหล่านี้
David Schwartz จาก Ripple ขยายคำเตือนดังกล่าว "อีเมลใด ๆ ที่คุณได้รับซึ่งดูเหมือนมาจาก Robinhood (และอาจมาจากระบบอีเมลของพวกเขาจริง ๆ) คือความพยายามฟิชชิ่ง" เขาโพสต์ และอ้างอิงเธรดของ Sabbah Schwartz เสริมว่า "มันแยบยลมากทีเดียว"
ในเดือนเมษายน 2025 Nick Johnson นักพัฒนาหลักของ Ethereum Name Service ได้บันทึกช่องโหว่ที่เกือบเหมือนกันซึ่งเกี่ยวข้องกับอีเมลที่ดูเหมือนส่งมาจาก Google เอง
ผู้โจมตีใช้เทคนิคที่คล้ายกันเพื่อใช้โครงสร้างพื้นฐานของ Google เองในการส่งอีเมลฟิชชิ่งที่ลงนามด้วย DKIM จาก [email protected]
บทเรียนในตอนนั้นก็คือบทเรียนในตอนนี้: ระวังการคลิกลิงก์ใด ๆ ในอีเมลใด ๆ ไม่ว่าจะดูน่าเชื่อถือเพียงใด
คำแนะนำการต่อต้านฟิชชิ่งแบบดั้งเดิมบอกให้ผู้ใช้ตรวจสอบโดเมนผู้ส่งและมองหาความล้มเหลวในการรับรองความถูกต้อง ไม่มีสิ่งใดช่วยได้ในกรณีนี้ โดเมนดูเหมือนจริง ลายเซ็นดูเหมือนจริง มีเพียงเจตนาเท่านั้นที่เป็นอาชญากรรม
คำแนะนำการป้องกันการหลอกลวงของ Robinhood เองบอกให้ลูกค้าตรวจสอบโดเมนอีเมลของผู้ส่งและระบุ @robinhood.com เป็นตัวอย่างที่ถูกต้อง
Protos ติดต่อ Robinhood เพื่อขอความคิดเห็น แต่ไม่ได้รับการตอบกลับก่อนเวลาเผยแพร่ ในการซื้อขาย Nasdaq วันนี้ หุ้นสามัญของ Robinhood เปิดการซื้อขายไม่เปลี่ยนแปลงเมื่อเทียบกับราคาปิดของวันศุกร์
มีข้อมูลเบาะแส? ส่งอีเมลถึงเราอย่างปลอดภัยผ่าน Protos Leaks สำหรับข่าวสารที่เจาะลึกยิ่งขึ้น ติดตามเราบน X, Bluesky และ Google News หรือสมัครสมาชิกช่อง YouTube ของเรา
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
