Phishing-kampanj riktad mot Robinhood-användare
David Schwartz, tidigare CTO på Ripple, har varnat för en riktad phishing-kampanj som utnyttjar Robinhood-användare genom till synes legitima e-postmeddelanden i samband med företagets resultatrapport. Enligt Schwartz involverar attacken e-postmeddelanden som verkar komma från Robinhoods eget system, där autentiseringstester som SPF, DKIM och DMARC passerar framgångsrikt. Detta gör att meddelandena framstår som äkta för mottagarna.
”VARNING: Alla e-postmeddelanden du får som verkar komma från Robinhood (och som faktiskt kan komma från deras e-postsystem) är phishingförsök,” skrev han i ett inlägg på X.
Detaljer om attacken
Detaljer som delades av Schwartz visar att e-postmeddelandena inkluderar en inloggningsvarning som anger tid, enhet och ett ärende-ID, tillsammans med en uppmaning som uppmanar användare att ”Granska aktivitet nu.” Meddelandets layout och varumärke speglar officiell kommunikation, men den inbäddade knappen påstås initiera en phishing-sekvens som är utformad för att fånga användarens autentiseringsuppgifter.
Schwartz förklarade den ovanliga leveransmetoden och uttryckte sin tro att e-postmeddelandena ”på något sätt injicerades i Robinhoods faktiska e-postinfrastruktur,” och beskrev senare utnyttjandet som ”ganska listigt.” Förmågan att passera standardautentiseringstester ökar sannolikheten för att användare litar på kommunikationen, enligt hans observation.
Attackvektorer och risker
Insikter som refererades av Schwartz från Abdel Sabbah beskriver en möjlig attackvektor som involverar Gmails ”punkttrick,” vilket tillåter flera variationer av samma e-postadress. Sabbah förklarade att angripare skapade ett Robinhood-konto med sådana variationer och tilldelade ett enhetsnamn inbäddat med skadlig HTML-kod. Enligt Sabbah sanerar inte Robinhoods system detta fält, vilket gör att HTML-payloaden kan renderas inuti officiella e-postmeddelanden som skickas från [email protected].
Resultatet blir ett fullt autentiserat meddelande som verkar legitimt men innehåller dolda skadliga element.
Övriga phishingattacker
Phishingattacker fortsätter att utgöra en bestående risk för kryptovaluta-användare, med flera kampanjer rapporterade över plånboksplattformar under de senaste dagarna. Som tidigare rapporterats av crypto.news blev MetaMask-användare mål för en phishing-kampanj som främjade en falsk tvåfaktorsautentiseringsprocess, enligt blockchain-säkerhetsföretaget SlowMist.
De förfalskade e-postmeddelandena använde MetaMask-varumärket och inkluderade en nedräkningsklocka som var utformad för att pressa användare till omedelbar åtgärd. SlowMist rapporterade att offer som klickade på uppmaningen ”Aktivera 2FA nu” omdirigerades till en skadlig webbplats som begärde deras seed phrase, vilket gav angriparna full tillgång till plånboksfonder. Företaget noterade att sådana kampanjer ofta förlitar sig på små inkonsekvenser, inklusive felstavade domäner och ovanliga avsändaradresser, för att kringgå initial granskning.
