इस सप्ताहांत Robinhood के ग्राहकों को कुछ विशेष रूप से विश्वसनीय फ़िशिंग ईमेल प्राप्त हुए। ये संदेश सीधे कंपनी से आते प्रतीत हो रहे थे, इनमें प्रमाणित हेडर थे, सही तरीके से हस्ताक्षरित थे, एक वास्तविक प्रेषक का पता शामिल था, एक प्रामाणिक ईमेल सर्वर से भेजे गए थे, और स्पैम फ़िल्टर द्वारा पकड़े नहीं गए।
इससे भी बुरा यह था कि [email protected] से आए ईमेल को Gmail ने स्वचालित रूप से Robinhood के पूर्व के वैध सुरक्षा अलर्ट वाले उसी वार्तालाप थ्रेड में डाल दिया।
ईमेल में एकमात्र धोखाधड़ी वाली चीज़ें अस्पष्ट तकनीकी अनियमितताएं और इसकी सामग्री थीं — एक फ़िशिंग कॉल-टू-एक्शन जो लॉगिन जानकारी मांग रहा था।
रविवार की रात तक, हैकर्स ने अपना हमला करने के लिए Robinhood की अपनी नोटिफिकेशन पाइपलाइन का उपयोग किया।
इस एक्सप्लॉइट का विश्लेषण कुछ ही समय बाद सोशल मीडिया पर वायरल हो गया।
Robinhood फ़िशिंग ईमेल 'काफी खूबसूरत' थे
सुरक्षा शोधकर्ता Abdel Sabbah ने इस घटना का विश्लेषण पोस्ट किया, और इसे एक भयावह अर्थ के साथ "काफी खूबसूरत" कहा। दुर्भाग्य से, वे सही थे।
हमले को तैयार करने के लिए, हैकर ने पहले Gmail के "डॉट ट्रिक" का उपयोग किया — एक प्रसिद्ध Google सुविधा जिसके द्वारा Gmail [email protected], [email protected], और [email protected] को एक ही इनबॉक्स में भेजता है।
Gmail, बाकी इंटरनेट के विपरीत, @ प्रतीक से पहले के पते के हिस्से में डॉट को अनदेखा करता है, इसलिए वे सभी वेरिएंट एक ही इनबॉक्स में डिलीवर होते हैं।
क्योंकि Robinhood, Gmail के विपरीत, डॉट वाले वेरिएंट को सामान्य नहीं करता, एक हमलावर ने Robinhood के वैध ग्राहक ईमेल के "डॉट" संशोधित संस्करण का उपयोग किया।
इसके बाद, हमलावर ने नए अकाउंट पर डिवाइस का नाम रॉ HTML के एक ब्लॉक पर सेट किया। जब Robinhood का "अपरिचित गतिविधि" ईमेल उत्पन्न होता है, तो टेम्प्लेट उस डिवाइस नाम को बिना सैनिटाइज़ किए डालता है, जिससे वह दुर्भावनापूर्ण HTML रेंडर हो जाता है।
परिणाम, Sabbah के शब्दों में, ऐसा प्रतीत हुआ जैसे "[email protected] से एक वास्तविक ईमेल, DKIM पास, SPF पास, DMARC पास, एक फ़िशिंग CTA के साथ।"
वह CTA या "कॉल टू एक्शन," निश्चित रूप से, एक नकली सुरक्षा अलर्ट ईमेल है जिसमें एक हाइपरलिंक है जो हमलावर-नियंत्रित वेबपेज पर ले जाता है और लॉगिन क्रेडेंशियल तथा टू-फैक्टर ऑथेंटिकेशन कोड चुराता है।
अंतिम लक्ष्य, लगभग सभी फ़िशिंग अभियानों की तरह, ग्राहकों का पैसा चुराना था — इस मामले में, उनके Robinhood खाते से।
और पढ़ें: Robinhood ने Sam Bankman-Fried की हिस्सेदारी खरीदने के लिए $605M का भुगतान किया
किसी भी ईमेल पर क्लिक करने से पहले सोचें
कई क्रिप्टो इन्फ्लुएंसर्स ने लोगों को इन विश्वसनीय ईमेल के बारे में चेतावनी दी।
Ripple के David Schwartz ने चेतावनी को और फैलाया। "आपको जो भी ईमेल मिलें जो Robinhood से आते प्रतीत हों (और वास्तव में उनके ईमेल सिस्टम से आ सकते हैं) वे फ़िशिंग प्रयास हैं," उन्होंने पोस्ट किया। Sabbah के थ्रेड को उद्धृत करते हुए, Schwartz ने जोड़ा, "यह काफी चालाकी भरा है।"
अप्रैल 2025 में, Ethereum Name Service के लीड डेवलपर Nick Johnson ने एक लगभग समान एक्सप्लॉइट का दस्तावेज़ीकरण किया जिसमें ईमेल Google से ही भेजे गए प्रतीत होते थे।
हमलावरों ने [email protected] से DKIM-हस्ताक्षरित फ़िशिंग ईमेल डिलीवर करने के लिए Google के अपने इन्फ्रास्ट्रक्चर का उपयोग करने के लिए समान तरकीबों की एक श्रृंखला का उपयोग किया।
तब की सीख अब भी वही है: किसी भी ईमेल में किसी भी लिंक पर क्लिक करते समय सावधान रहें, चाहे वह कितना भी प्रामाणिक क्यों न लगे।
पारंपरिक एंटी-फ़िशिंग सलाह उपयोगकर्ताओं को प्रेषक डोमेन जांचने और प्रमाणीकरण विफलताओं की तलाश करने के लिए कहती है। यहां उनमें से कोई भी काम नहीं आया। डोमेन वास्तविक लग रहा था। हस्ताक्षर वास्तविक लग रहे थे। केवल इरादा आपराधिक था।
Robinhood की अपनी स्कैम गाइडेंस ग्राहकों को प्रेषक के ईमेल डोमेन को सत्यापित करने और प्रामाणिक उदाहरण के रूप में @robinhood.com सूचीबद्ध करने के लिए कहती है।
Protos ने टिप्पणी के लिए Robinhood से संपर्क किया लेकिन प्रकाशन समय से पहले कोई जवाब नहीं मिला। आज Nasdaq ट्रेडिंग में, Robinhood का सामान्य स्टॉक शुक्रवार के क्लोजिंग प्रिंट के सापेक्ष फ्लैट खुला।
कोई टिप मिली? हमें Protos Leaks के माध्यम से सुरक्षित रूप से ईमेल करें। अधिक जानकारीपूर्ण समाचारों के लिए, हमें X, Bluesky, और Google News पर फॉलो करें, या हमारे YouTube चैनल को सब्सक्राइब करें।
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
