Οι πελάτες του Robinhood έλαβαν μερικά ιδιαίτερα πειστικά phishing emails αυτό το Σαββατοκύριακο. Τα μηνύματα, που φαίνονταν να προέρχονται απευθείας από την εταιρεία, διέθεταν πιστοποιημένες κεφαλίδες, ήταν σωστά υπογεγραμμένα, περιελάμβαναν γνήσια διεύθυνση αποστολέα, εστάλησαν από αυθεντικό διακομιστή email και δεν εντοπίστηκαν από φίλτρα spam.
Χειρότερα, το email από [email protected] κατάφερε ακόμα και να ενταχθεί αυτόματα από το Gmail στα ίδια νήματα συνομιλίας με νόμιμες, προηγούμενες ειδοποιήσεις ασφαλείας από το Robinhood.
Τα μόνα δόλια στοιχεία του email ήταν ασαφείς τεχνικές ανωμαλίες και το περιεχόμενό του, μια phishing πρόσκληση για δράση που αναζητούσε στοιχεία σύνδεσης.
Μέχρι το βράδυ της Κυριακής, οι hackers χρησιμοποίησαν τον ίδιο αγωγό ειδοποιήσεων του Robinhood για να εξαπολύσουν την επίθεσή τους.
Η ανάλυση του exploit έγινε viral στα μέσα κοινωνικής δικτύωσης λίγο αργότερα.
Τα phishing emails του Robinhood ήταν «κάπως όμορφα»
Ο ερευνητής ασφαλείας Abdel Sabbah δημοσίευσε ανάλυση του γεγονότος, αποκαλώντας το «κάπως όμορφο» με μια ζοφερή χροιά. Δυστυχώς, είχε δίκιο.
Για να κατασκευάσει την επίθεση, ο hacker χρησιμοποίησε πρώτα το «dot trick» του Gmail, μια γνωστή λειτουργία της Google όπου το Gmail δρομολογεί τα [email protected], [email protected] και [email protected] στο ίδιο inbox.
Το Gmail, σε αντίθεση με το υπόλοιπο διαδίκτυο, αγνοεί τις τελείες στο τμήμα της διεύθυνσης πριν από το σύμβολο @, οπότε όλες αυτές οι παραλλαγές παραδίδονται στο ίδιο inbox.
Επειδή το Robinhood, σε αντίθεση με το Gmail, δεν κανονικοποιεί τις παραλλαγές με τελείες, ένας επιτιθέμενος χρησιμοποίησε μια τροποποιημένη με «τελεία» έκδοση των νόμιμων email πελατών του Robinhood.
Στη συνέχεια, ο επιτιθέμενος όρισε το όνομα συσκευής στον νέο λογαριασμό ως ένα μπλοκ ακατέργαστης HTML. Όταν δημιουργείται το email «μη αναγνωρισμένης δραστηριότητας» του Robinhood, το πρότυπο εισάγει αυτό το όνομα συσκευής χωρίς να το εξυγιαίνει, αποδίδοντας την κακόβουλη HTML.
Το αποτέλεσμα, με τα λόγια του Sabbah, ήταν αυτό που φαινόταν να είναι «ένα πραγματικό email από [email protected], DKIM pass, SPF pass, DMARC pass, με phishing CTA».
Αυτό το CTA ή «πρόσκληση για δράση», φυσικά, είναι ένα ψεύτικο email ειδοποίησης ασφαλείας με έναν υπερσύνδεσμο σε μια ιστοσελίδα ελεγχόμενη από τον επιτιθέμενο που συλλέγει διαπιστευτήρια σύνδεσης και κωδικούς ελέγχου ταυτότητας δύο παραγόντων.
Ο τελικός στόχος, όπως σχεδόν σε όλες τις εκστρατείες phishing, ήταν η κλοπή χρημάτων των πελατών — στη συγκεκριμένη περίπτωση, από τον λογαριασμό τους στο Robinhood.
Διαβάστε περισσότερα: Το Robinhood πληρώνει 605 εκατ. δολάρια για να αγοράσει το μερίδιο του Sam Bankman-Fried
Σκεφτείτε πριν κάνετε κλικ σε οποιοδήποτε email
Πολλοί crypto influencers προειδοποίησαν τον κόσμο για τα πειστικά emails.
Ο David Schwartz της Ripple ενίσχυσε την προειδοποίηση. «Τυχόν emails που λαμβάνετε και φαίνονται να προέρχονται από το Robinhood (και μπορεί πράγματι να προέρχονται από το σύστημα email τους) είναι απόπειρες phishing», ανέφερε. Παραθέτοντας το thread του Sabbah, ο Schwartz πρόσθεσε: «Είναι αρκετά ύπουλο».
Τον Απρίλιο του 2025, ο κύριος προγραμματιστής του Ethereum Name Service, Nick Johnson, τεκμηρίωσε ένα σχεδόν πανομοιότυπο exploit που αφορούσε emails που φαίνονταν να αποστέλλονται από την ίδια την Google.
Οι επιτιθέμενοι χρησιμοποίησαν μια παρόμοια σειρά τεχνασμάτων για να χρησιμοποιήσουν την ίδια υποδομή της Google για να παραδώσουν phishing emails υπογεγραμμένα με DKIM από [email protected].
Το μάθημα τότε είναι το μάθημα τώρα: προσέχετε να κάνετε κλικ σε οποιοδήποτε σύνδεσμο σε οποιοδήποτε email, ανεξάρτητα από το πόσο αυθεντικό φαίνεται.
Οι παραδοσιακές συμβουλές κατά του phishing λένε στους χρήστες να ελέγχουν τον τομέα του αποστολέα και να αναζητούν αποτυχίες ελέγχου ταυτότητας. Τίποτα από αυτά δεν βοήθησε εδώ. Ο τομέας φαινόταν πραγματικός. Οι υπογραφές φαίνονταν πραγματικές. Μόνο η πρόθεση ήταν εγκληματική.
Οι ίδιες οδηγίες του Robinhood κατά της απάτης λένε στους πελάτες να επαληθεύουν τον τομέα email του αποστολέα και αναφέρει το @robinhood.com ως το αυθεντικό παράδειγμα.
Το Protos απευθύνθηκε στο Robinhood για σχόλιο αλλά δεν έλαβε απάντηση πριν από τη στιγμή της δημοσίευσης. Στις συναλλαγές του Nasdaq σήμερα, η κοινή μετοχή του Robinhood άνοιξε αμετάβλητη σε σχέση με το κλείσιμο της Παρασκευής.
Έχετε μια πληροφορία; Στείλτε μας email με ασφάλεια μέσω Protos Leaks. Για πιο ενημερωμένες ειδήσεις, ακολουθήστε μας στο X, Bluesky και Google News, ή εγγραφείτε στο κανάλι μας στο YouTube.
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
