Robinhoodi kliendid said saanud sel nädalavahetusel eriti veenvaid phishing-meilisid. Sõnumid, mis näisid tulevat otse ettevõtelt, sisaldasid autentseid päiseid, olid õigesti allkirjastatud, sisaldasid autentset saatja aadressi, saadeti autentselt e-postiserverist ja neid ei tabanud rämpsposti filtrid.
Halvemaks oli see, et [email protected] aadressilt saadetud meil sai Gmaili automaatse teekonna sama vestluskettaga, kus olid juba varasemad Robinhoodi autentsed turvalisusalased hoiatused.
Ainukesed petlikud asjad meilis olid varjatud tehnilised ebaregulaarsused ja selle sisu – phishing-kutse tegevusele, millega sooviti saada kätte sisselogimisteave.
Pühapäeva õhtul kasutasid kurjategijad oma rünnaku toimetamiseks Robinhoodi enda teavituste kanalit.
Selle ekspluateerimise analüüs läks kohe pärast seda sotsiaalmeedias veebis levima.
Robinhoodi phishing-meilid olid „pisut ilusad“
Turvalisusuuringute teadlane Abdel Sabbah postitas sündmuse analüüsi ja nimetas seda „pisut ilusaks“ kõrvalekallest tähendusega. Kahjuks oli ta õigus.
Rünnaku loomiseks kasutas kurjategija esmalt Gmaili „punktide trikki“ – hästi tuntud Google’i funktsiooni, mille abil suunatakse aadressid [email protected], [email protected] ja [email protected] kõik samasse postkasti.
Gmail, erinevalt ülejäänud internetist, ignoreerib @-märgi ees olevas osas punkte, mistõttu kõik need variandid saabuvad samasse postkasti.
Kuna Robinhood, erinevalt Gmailist, ei normaliseeri punktidega variante, kasutas kurjategija Robinhoodi autentsete kliendimeilide „punktidega“ muudetud versiooni.
Seejärel seadis kurjategija uue konto seadme nimeks puhta HTML-i ploki. Kui Robinhoodi „tundmatu tegevuse“ meil genereeritakse, sisestab mall see seadme nimi ilma selle puhastamata, põhjustades kurjategija HTML-i renderdamise.
Sabbahi sõnul oli tulemuseks „autentne meil aadressilt [email protected], DKIM läbis, SPF läbis, DMARC läbis, koos phishing-kutsega tegevusele (CTA)“.
Selle CTA ehk „kutse tegevusele“ oli, muidugi, vale turvalisusalane hoiatusmeil hüperlingiga kurjategija kontrollitud veebilehele, kust koguti kokku sisselogimisteave ja kahefaktorilise autentimise koodid.
Lõplikuks eesmärgiks, nagu peaaegu kõigis phishing-kampaaniates, oli kliendite raha varastamine – sel juhul nende Robinhoodi kontolt.
Lisalugemiseks: Robinhood maksis 605 miljonit dollarit Sam Bankman-Friedi osaluse ostmiseks
Mõelge enne igasuguse meili klõpsamist
Paljud krüptovaluutade mõjukad isikud hoiatasid inimesi veenvatest meilidest.
Ripple’i David Schwartz tugevdas seda hoiatust: „Kõik teile saadetud meilid, mis näivad tulevat Robinhoodilt (ja võivad tegelikult tulla nende e-postisüsteemist), on phishing-katsed,“ postitas ta. Sabbahi lõime tsiteerides lisas Schwartz: „See on väga varjatud.“
Aprillis 2025 dokumenteeris Ethereum Name Service’i peakindlustaja Nick Johnson peaaegu identse ekspluateerimise, kus meilid näisid tulevat ise Google’ilt.
Kurjategijad kasutasid sarnast trikkide jada, et kasutada Google’i enda infrastruktuuri DKIM-ga allkirjastatud phishing-meilide saatmiseks aadressilt [email protected].
Sellest õppetunnist on sama õppetund täna: ärge klõpsake mingil juhul ühelgi lingil meilis, olenegi kui see näeb välja täiesti autentne.
Tänapäevase antiphishing-soovituse kohaselt peaksid kasutajad kontrollima saatja domeeni ja otsima autentimise nurjumisi. Siin see ei aidanud. Domeen näis autentne. Allkirjad näitsid autentseid. Ainult eesmärk oli kuritegelik.
Robinhoodi enda pettuste juhend ütleb klientidele, et nad kontrolliksid saatja e-posti domeeni, ja annab autentse näitena @robinhood.com.
Protos pöördus kommentaari saamiseks Robinhoodi poole, kuid ei saanud vastust enne avaldamise tähtaega. Täna Nasdaqil avas Robinhoodi tavaline aktsia kauplemise tasaselt eelmise reede sulgemishinnaga võrreldes.
Olete saanud teate? Saatke meile turvaliselt e-posti teel Protos Leaks. Lisateabe saamiseks jälgige meid X-is, Bluesky's ja Google News'is, või tellige meie YouTube-kanal.
Allikas: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
