Klienci Robinhood otrzymali w ten weekend szczególnie przekonujące e-maile phishingowe. Wiadomości, które wyglądały, jakby pochodziły bezpośrednio od firmy, zawierały uwierzytelnione nagłówki, były poprawnie podpisane, zawierały prawdziwy adres nadawcy, zostały wysłane z autentycznego serwera poczty e-mail i nie zostały przechwycone przez filtry antyspamowe.
Co gorsza, e-mail z adresu [email protected] trafił nawet automatycznie do tych samych wątków rozmów w Gmailu, co wcześniejsze, legalne alerty bezpieczeństwa od Robinhood.
Jedynymi fałszywymi elementami w e-mailu były niejasne nieprawidłowości techniczne oraz jego treść — phishingowe wezwanie do działania mające na celu pozyskanie danych logowania.
W niedzielę wieczorem hakerzy wykorzystali własny system powiadomień Robinhood do przeprowadzenia ataku.
Analiza exploita wkrótce potem stała się viralem w mediach społecznościowych.
E-maile phishingowe Robinhood były „poniekąd piękne"
Badacz bezpieczeństwa Abdel Sabbah opublikował analizę zdarzenia, nazywając je „poniekąd pięknym" z złowrogim podtekstem. Niestety miał rację.
Aby przygotować atak, haker najpierw wykorzystał „sztuczkę z kropką" w Gmailu — dobrze znana funkcja Google, dzięki której Gmail kieruje [email protected], [email protected] i [email protected] do tej samej skrzynki odbiorczej.
Gmail, w przeciwieństwie do reszty internetu, ignoruje kropki w części adresu przed symbolem @, więc wszystkie te warianty trafiają do tej samej skrzynki odbiorczej.
Ponieważ Robinhood, w przeciwieństwie do Gmaila, nie normalizuje wariantów z kropkami, atakujący użył wersji z „kropką" zmodyfikowanych legalnych adresów e-mail klientów Robinhood.
Następnie atakujący ustawił nazwę urządzenia na nowym koncie jako blok surowego kodu HTML. Gdy generowany jest e-mail „nierozpoznana aktywność" od Robinhood, szablon wstawia tę nazwę urządzenia bez jej oczyszczenia, renderując złośliwy kod HTML.
Wynik, słowami Sabbaha, to to, co wyglądało jak „prawdziwy e-mail z [email protected], DKIM pass, SPF pass, DMARC pass, z phishingowym CTA".
To CTA, czyli „wezwanie do działania", to oczywiście fałszywy e-mail z alertem bezpieczeństwa zawierający hiperłącze do strony internetowej kontrolowanej przez atakującego, która zbiera dane logowania i kody uwierzytelniania dwuskładnikowego.
Ostatecznym celem, jak w przypadku niemal wszystkich kampanii phishingowych, była kradzież pieniędzy klientów — w tym przypadku z ich konta Robinhood.
Czytaj więcej: Robinhood płaci 605 mln dolarów za zakup udziałów Sama Bankman-Frieda
Pomyśl, zanim klikniesz w jakikolwiek e-mail
Wielu kryptowalutowych influencerów ostrzegało ludzi przed przekonującymi e-mailami.
David Schwartz z Ripple nagłośnił ostrzeżenie. „Wszelkie e-maile, które otrzymujesz, wyglądające jakby pochodziły od Robinhood (i mogące faktycznie pochodzić z ich systemu poczty e-mail), są próbami phishingu" — napisał. Cytując wątek Sabbaha, Schwartz dodał: „To dość podstępne".
W kwietniu 2025 roku główny deweloper Ethereum Name Service, Nick Johnson, udokumentował niemal identyczny exploit dotyczący e-maili, które wyglądały, jakby były wysyłane przez samego Google.
Atakujący użyli podobnej serii sztuczek, aby wykorzystać własną infrastrukturę Google do dostarczania podpisanych DKIM e-maili phishingowych z adresu [email protected].
Lekcja z tamtego czasu jest aktualna do dziś: uważaj na klikanie w jakiekolwiek linki w e-mailach, bez względu na to, jak autentycznie wyglądają.
Tradycyjne porady dotyczące ochrony przed phishingiem mówią użytkownikom, aby sprawdzali domenę nadawcy i szukali błędów uwierzytelniania. Żadne z tych zaleceń tu nie pomogło. Domena wyglądała prawdziwie. Podpisy wyglądały prawdziwie. Jedynie zamiar był przestępczy.
Własny przewodnik Robinhood dotyczący oszustw mówi klientom, aby weryfikowali domenę e-mail nadawcy i podaje @robinhood.com jako autentyczny przykład.
Protos skontaktowało się z Robinhood w celu uzyskania komentarza, ale nie otrzymało odpowiedzi przed czasem publikacji. W dzisiejszych notowaniach na Nasdaq akcje zwykłe Robinhood otworzyły się bez zmian względem piątkowego kursu zamknięcia.
Masz cynk? Wyślij nam e-mail bezpiecznie przez Protos Leaks. Aby być na bieżąco z informacjami, obserwuj nas na X, Bluesky i Google News lub subskrybuj nasz kanał YouTube.
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
