এই সপ্তাহান্তে Robinhood গ্রাহকরা বিশেষভাবে বিশ্বাসযোগ্য কিছু ফিশিং ইমেইল পেয়েছেন। বার্তাগুলো দেখে মনে হচ্ছিল সরাসরি কোম্পানি থেকে এসেছে, এগুলোতে প্রমাণিত হেডার ছিল, সঠিকভাবে সাইন করা ছিল, প্রকৃত প্রেরকের ঠিকানা অন্তর্ভুক্ত ছিল, একটি আসল ইমেইল সার্ভার থেকে পাঠানো হয়েছিল এবং স্প্যাম ফিল্টারে ধরা পড়েনি।
আরও খারাপ বিষয় হলো, [email protected] থেকে আসা ইমেইলটি Gmail-এর স্বয়ংক্রিয় রুটিংয়ের মাধ্যমে Robinhood-এর পূর্ববর্তী বৈধ নিরাপত্তা সতর্কতার একই কথোপকথন থ্রেডে স্থান পেয়েছিল।
ইমেইলটিতে জালিয়াতির একমাত্র বিষয়গুলো ছিল অস্পষ্ট প্রযুক্তিগত অনিয়ম এবং এর বিষয়বস্তু — লগইন তথ্য সংগ্রহের উদ্দেশ্যে একটি ফিশিং কল-টু-অ্যাকশন।
রোববার রাতের মধ্যে হ্যাকাররা তাদের আক্রমণ পরিচালনার জন্য Robinhood-এর নিজস্ব নোটিফিকেশন পাইপলাইন ব্যবহার করেছিল।
এক্সপ্লয়েটের বিশ্লেষণ শীঘ্রই সোশ্যাল মিডিয়ায় ভাইরাল হয়ে যায়।
Robinhood ফিশিং ইমেইলগুলো ছিল 'কিছুটা সুন্দর'
নিরাপত্তা গবেষক Abdel Sabbah ঘটনাটির একটি বিশ্লেষণ পোস্ট করেন এবং এটিকে অশুভ অর্থে "কিছুটা সুন্দর" বলে অভিহিত করেন। দুর্ভাগ্যবশত, তিনি সঠিক ছিলেন।
আক্রমণটি তৈরি করতে, হ্যাকার প্রথমে Gmail-এর "ডট ট্রিক" ব্যবহার করেছিল — একটি সুপরিচিত Google ফিচার যেখানে Gmail [email protected], [email protected] এবং [email protected]-কে একই ইনবক্সে রুট করে।
Gmail, ইন্টারনেটের বাকি অংশের মতো নয়, @ চিহ্নের আগের ঠিকানার অংশে ডট উপেক্ষা করে, তাই সেই সমস্ত ভেরিয়েন্ট একই ইনবক্সে ডেলিভার হয়।
কারণ Robinhood, Gmail-এর মতো নয়, ডটযুক্ত ভেরিয়েন্টগুলো নরমালাইজ করে না, তাই একজন আক্রমণকারী Robinhood-এর বৈধ গ্রাহক ইমেইলের "ডট" পরিবর্তিত সংস্করণ ব্যবহার করেছিল।
এরপর, আক্রমণকারী নতুন অ্যাকাউন্টের ডিভাইসের নাম হিসেবে একটি raw HTML ব্লক সেট করেছিল। যখন Robinhood-এর "অচেনা কার্যক্রম" ইমেইল তৈরি হয়, টেমপ্লেটটি সেই ডিভাইসের নাম স্যানিটাইজ না করেই ঢুকিয়ে দেয়, ফলে ক্ষতিকর HTML রেন্ডার হয়।
ফলাফল, Sabbah-এর ভাষায়, দেখতে ছিল "[email protected] থেকে একটি আসল ইমেইল, DKIM pass, SPF pass, DMARC pass, এবং একটি ফিশিং CTA সহ।"
সেই CTA বা "কল টু অ্যাকশন" হলো অবশ্যই একটি নকল নিরাপত্তা সতর্কতা ইমেইল যেখানে আক্রমণকারী-নিয়ন্ত্রিত একটি ওয়েবপেজের হাইপারলিংক রয়েছে, যা লগইন শংসাপত্র এবং দ্বি-ফ্যাক্টর প্রমাণীকরণ কোড সংগ্রহ করে।
চূড়ান্ত লক্ষ্য, প্রায় সমস্ত ফিশিং প্রচারণার মতোই, ছিল গ্রাহকের অর্থ চুরি করা — এক্ষেত্রে তাদের Robinhood অ্যাকাউন্ট থেকে।
আরও পড়ুন: Robinhood Sam Bankman-Fried-এর স্টেক কিনতে $৬০৫ মিলিয়ন পরিশোধ করেছে
যেকোনো ইমেইলে ক্লিক করার আগে ভাবুন
অনেক ক্রিপ্টো ইনফ্লুয়েন্সার মানুষদের বিশ্বাসযোগ্য ইমেইলগুলো সম্পর্কে সতর্ক করেছেন।
Ripple-এর David Schwartz সতর্কতাটি আরও প্রচার করেছেন। "আপনি যে ইমেইলগুলো পাচ্ছেন যেগুলো Robinhood থেকে আসছে বলে মনে হচ্ছে (এবং সত্যিকার অর্থে তাদের ইমেইল সিস্টেম থেকেও আসতে পারে) সেগুলো ফিশিং প্রচেষ্টা," তিনি পোস্ট করেছেন। Sabbah-এর থ্রেড উদ্ধৃত করে, Schwartz যোগ করেছেন, "এটি বেশ চালাকির।"
২০২৫ সালের এপ্রিলে, Ethereum Name Service-এর প্রধান ডেভেলপার Nick Johnson একটি প্রায় অভিন্ন এক্সপ্লয়েট নথিভুক্ত করেছিলেন যেখানে ইমেইলগুলো Google-এর নিজস্ব থেকে পাঠানো বলে মনে হচ্ছিল।
আক্রমণকারীরা [email protected] থেকে DKIM-সাইন করা ফিশিং ইমেইল ডেলিভার করতে Google-এর নিজস্ব অবকাঠামো ব্যবহার করতে একই ধরনের কৌশলের সিরিজ ব্যবহার করেছিল।
তখনকার শিক্ষাই এখনকার শিক্ষা: যেকোনো ইমেইলে যেকোনো লিংকে ক্লিক করার ব্যাপারে সতর্ক থাকুন, সেটি যতই আসল মনে হোক না কেন।
ঐতিহ্যগত অ্যান্টি-ফিশিং পরামর্শ ব্যবহারকারীদের প্রেরকের ডোমেইন যাচাই করতে এবং প্রমাণীকরণ ব্যর্থতা খুঁজতে বলে। এর কোনোটাই এখানে সাহায্য করেনি। ডোমেইনটি আসল মনে হয়েছিল। স্বাক্ষরগুলো আসল মনে হয়েছিল। শুধুমাত্র উদ্দেশ্যটি ছিল অপরাধমূলক।
Robinhood-এর নিজস্ব স্ক্যাম গাইডেন্স গ্রাহকদের প্রেরকের ইমেইল ডোমেইন যাচাই করতে বলে এবং আসল উদাহরণ হিসেবে @robinhood.com তালিকাভুক্ত করে।
Protos মন্তব্যের জন্য Robinhood-এর সাথে যোগাযোগ করেছিল কিন্তু প্রকাশনার আগে কোনো উত্তর পায়নি। আজ Nasdaq ট্রেডিংয়ে, Robinhood-এর সাধারণ স্টক শুক্রবারের ক্লোজিং প্রিন্টের তুলনায় ফ্ল্যাট অবস্থায় ট্রেডিং শুরু করেছে।
কোনো টিপস আছে? Protos Leaks-এর মাধ্যমে নিরাপদে আমাদের একটি ইমেইল পাঠান। আরও তথ্যপূর্ণ সংবাদের জন্য, X, Bluesky এবং Google News-এ আমাদের অনুসরণ করুন, অথবা আমাদের YouTube চ্যানেলে সাবস্ক্রাইব করুন।
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
