Robinhood-klanten ontvingen dit weekend bijzonder overtuigende phishing-e-mails. De berichten, die rechtstreeks van het bedrijf afkomstig leken te zijn, hadden geauthenticeerde headers, waren correct ondertekend, bevatten een echt afzenderadres, werden verzonden vanaf een authentieke e-mailserver en werden niet onderschept door spamfilters.
Erger nog, de e-mail van [email protected] werd door Gmail zelfs automatisch geplaatst in dezelfde gespreksthreads als legitieme, eerdere beveiligingswaarschuwingen van Robinhood.
Het enige frauduleuze aan de e-mail waren obscure technische onregelmatigheden en de inhoud ervan: een phishing call-to-action gericht op het verkrijgen van inloggegevens.
Zondagavond maakten hackers gebruik van Robinhoods eigen meldingspijplijn om hun aanval uit te voeren.
Een analyse van de exploit werd kort daarna viraal op sociale media.
Robinhood phishing-e-mails waren 'een beetje prachtig'
Beveiligingsonderzoeker Abdel Sabbah publiceerde een analyse van het incident en noemde het "een beetje prachtig" met een sinistere bijklank. Helaas had hij gelijk.
Om de aanval op te zetten, maakte de hacker eerst gebruik van de Gmail "dot trick", een bekende Google-functie waarbij Gmail [email protected], [email protected] en [email protected] naar dezelfde inbox routeert.
Gmail negeert, in tegenstelling tot de rest van het internet, punten in het gedeelte van het adres vóór het @-symbool, waardoor al die varianten in dezelfde inbox terechtkomen.
Omdat Robinhood, in tegenstelling tot Gmail, de varianten met punten niet normaliseert, gebruikte een aanvaller een met een "punt" aangepaste versie van Robinhoods legitieme klantemailadressen.
Vervolgens stelde de aanvaller de apparaatnaam op het nieuwe account in als een blok ruwe HTML. Wanneer Robinhoods e-mail over "niet-herkende activiteit" wordt gegenereerd, voegt de sjabloon die apparaatnaam in zonder deze te saneren, waardoor de kwaadaardige HTML wordt weergegeven.
Het resultaat, in Sabbah's woorden, was wat eruitzag als "een echte e-mail van [email protected], DKIM geslaagd, SPF geslaagd, DMARC geslaagd, met een phishing CTA."
Die CTA of "call to action" is uiteraard een neppe beveiligingswaarschuwingsmail met een hyperlink naar een door de aanvaller beheerde webpagina die inloggegevens en twee-factorauthenticatiecodes onderschept.
Het uiteindelijke doel, zoals bij vrijwel alle phishingcampagnes, was het stelen van het geld van klanten — in dit geval van hun Robinhood-account.
Lees meer: Robinhood betaalt $605M om Sam Bankman-Frieds aandeel te kopen
Denk na voordat u op een e-mail klikt
Veel crypto-influencers waarschuwden mensen voor de overtuigende e-mails.
David Schwartz van Ripple versterkte de waarschuwing. "Alle e-mails die u ontvangt en die afkomstig lijken te zijn van Robinhood (en mogelijk daadwerkelijk afkomstig zijn van hun e-mailsysteem) zijn phishingpogingen," schreef hij. Met een verwijzing naar Sabbah's thread voegde Schwartz eraan toe: "Het is behoorlijk sluw."
In april 2025 documenteerde Nick Johnson, hoofdontwikkelaar van Ethereum Name Service, een vrijwel identieke exploit met e-mails die afkomstig leken te zijn van Google zelf.
Aanvallers gebruikten een vergelijkbare reeks trucs om gebruik te maken van Google's eigen infrastructuur voor het afleveren van DKIM-ondertekende phishing-e-mails van [email protected].
De les van toen is de les van nu: wees voorzichtig met het klikken op links in e-mails, hoe authentiek ze er ook uitzien.
Traditioneel anti-phishingadvies vertelt gebruikers het afzenderdomein te controleren en te letten op authenticatiefouten. Geen van dat hielp hier. Het domein leek echt. De handtekeningen leken echt. Alleen de intentie was crimineel.
Robinhoods eigen frauderichtlijnen adviseren klanten het e-maildomein van de afzender te verifiëren en noemen @robinhood.com als het authentieke voorbeeld.
Protos heeft Robinhood om commentaar gevraagd, maar ontving vóór publicatietijd geen reactie. Op de Nasdaq-beurs opende het gewone aandeel van Robinhood vandaag onveranderd ten opzichte van de slotkoers van vrijdag.
Een tip? Stuur ons veilig een e-mail via Protos Leaks. Volg ons voor meer nieuws op X, Bluesky en Google News, of abonneer u op ons YouTube-kanaal.
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
