Цього вихідного клієнти Robinhood отримали особливо переконливі фішингові електронні листи. Повідомлення, які, здавалося, надходили безпосередньо від компанії, мали автентифіковані заголовки, були правильно підписані, містили справжню адресу відправника, надсилалися з автентичного поштового сервера і не потрапляли до спам-фільтрів.
Що ще гірше, електронний лист від [email protected] навіть автоматично потрапив у Gmail до тих самих гілок листування, що й попередні легітимні сповіщення безпеки від Robinhood.
Єдиним шахрайським у цьому листі були непомітні технічні порушення та його вміст — фішинговий заклик до дії з метою отримання облікових даних.
У неділю ввечері хакери використали власний канал сповіщень Robinhood для здійснення атаки.
Аналіз методу злому незабаром став вірусним у соціальних мережах.
Фішингові листи Robinhood були «по-своєму красивими»
Дослідник безпеки Абдель Саббах опублікував аналіз події, назвавши її «по-своєму красивою» з моторошним відтінком. На жаль, він мав рацію.
Для проведення атаки хакер спочатку скористався «трюком із крапкою» в Gmail — відомою функцією Google, завдяки якій Gmail надсилає листи на [email protected], [email protected] та [email protected] до однієї й тієї самої скриньки вхідних.
Gmail, на відміну від решти інтернету, ігнорує крапки в частині адреси перед символом @, тому всі ці варіанти доставляються до однієї скриньки вхідних.
Оскільки Robinhood, на відміну від Gmail, не нормалізує варіанти з крапками, зловмисник використав змінену за допомогою «крапки» версію легітимних електронних адрес клієнтів Robinhood.
Далі зловмисник задав ім'я пристрою для нового акаунту у вигляді блоку необробленого HTML. Коли генерується лист Robinhood про «незнайомий пристрій», шаблон вставляє це ім'я пристрою без очищення, відображаючи шкідливий HTML.
Результат, за словами Саббаха, виглядав як «справжній лист від [email protected], DKIM pass, SPF pass, DMARC pass, з фішинговим CTA».
Цей CTA, або «заклик до дії», звісно, є фейковим листом із сповіщенням безпеки з гіперпосиланням на веб-сторінку, підконтрольну зловмиснику, яка збирає облікові дані для входу та коди двофакторної автентифікації.
Кінцева мета, як і майже у всіх фішингових кампаніях, — викрасти гроші клієнтів, у цьому випадку — з їхнього акаунту Robinhood.
Читайте також: Robinhood виплачує $605M за придбання частки Сема Бенкмана-Фріда
Подумайте, перш ніж натискати на будь-який лист
Багато криптоінфлюенсерів попередили людей про переконливі листи.
Девід Шварц із Ripple підсилив попередження. «Будь-які листи, які ви отримуєте й які, здається, надходять від Robinhood (і насправді можуть надходити з їхньої поштової системи), є спробами фішингу», — написав він. Цитуючи гілку Саббаха, Шварц додав: «Це досить підступно».
У квітні 2025 року провідний розробник Ethereum Name Service Нік Джонсон задокументував майже ідентичний метод злому, пов'язаний із листами, які, здавалося, надсилалися від самого Google.
Зловмисники використали аналогічну серію прийомів, щоб скористатися власною інфраструктурою Google для доставки підписаних DKIM фішингових листів від [email protected].
Урок тоді залишається актуальним і зараз: остерігайтеся натискати будь-яке посилання в будь-якому листі, незалежно від того, наскільки автентичним він виглядає.
Традиційні поради щодо захисту від фішингу радять користувачам перевіряти домен відправника та шукати помилки автентифікації. Жодне з цього тут не допомогло б. Домен виглядав справжнім. Підписи виглядали справжніми. Злочинним був лише намір.
Власні інструкції Robinhood щодо шахрайства радять клієнтам перевіряти домен електронної адреси відправника та наводять @robinhood.com як автентичний приклад.
Protos звернувся до Robinhood за коментарем, але не отримав відповіді до часу публікації. У сьогоднішніх торгах на Nasdaq звичайні акції Robinhood відкрилися без змін порівняно із закриттям у п'ятницю.
Маєте підказку? Надішліть нам електронний лист безпечно через Protos Leaks. Для більш поінформованих новин підписуйтесь на нас у X, Bluesky та Google News або підпишіться на наш канал YouTube.
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
