В эти выходные клиенты Robinhood получили особенно убедительные фишинговые письма. Сообщения, которые, казалось, исходили напрямую от компании, имели аутентифицированные заголовки, были правильно подписаны, содержали настоящий адрес отправителя, были отправлены с подлинного почтового сервера и не были перехвачены спам-фильтрами.
Хуже того, письмо от [email protected] даже автоматически попало в Gmail в те же цепочки переписки, что и легитимные предыдущие уведомления безопасности от Robinhood.
Единственными мошенническими элементами письма были незаметные технические несоответствия и его содержание — фишинговый призыв к действию с запросом данных для входа в систему.
К воскресному вечеру хакеры использовали собственный канал уведомлений Robinhood для проведения своей атаки.
Анализ эксплойта вскоре стал вирусным в социальных сетях.
Фишинговые письма Robinhood были «своего рода красивы»
Исследователь безопасности Абдель Саббах опубликовал анализ произошедшего, назвав это «своего рода красивым» с зловещим подтекстом. К сожалению, он был прав.
Для осуществления атаки хакер сначала воспользовался «трюком с точкой» в Gmail — широко известной функцией Google, при которой Gmail направляет [email protected], [email protected] и [email protected] в один и тот же почтовый ящик.
Gmail, в отличие от остального интернета, игнорирует точки в части адреса до символа @, поэтому все эти варианты доставляются в один и тот же почтовый ящик.
Поскольку Robinhood, в отличие от Gmail, не нормализует варианты с точками, злоумышленник использовал версию легитимных клиентских адресов электронной почты Robinhood, изменённую с помощью «точки».
Затем злоумышленник задал имя устройства в новом аккаунте в виде блока необработанного HTML. Когда формируется письмо Robinhood о «нераспознанной активности», шаблон вставляет это имя устройства без его очистки, отображая вредоносный HTML.
Результат, по словам Саббаха, выглядел как «настоящее письмо от [email protected], DKIM pass, SPF pass, DMARC pass, с фишинговым CTA».
Этот CTA, или «призыв к действию», конечно же, представляет собой поддельное письмо с уведомлением безопасности с гиперссылкой на веб-страницу под контролем злоумышленника, которая собирает учётные данные для входа и коды двухфакторной аутентификации.
Конечная цель, как и почти во всех фишинговых кампаниях, состояла в краже денег клиентов — в данном случае с их аккаунта в Robinhood.
Читать далее: Robinhood платит 605 млн $ за покупку доли Сэма Бэнкмана-Фрида
Думайте, прежде чем нажимать на любое письмо
Многие крипто-инфлюенсеры предупредили людей об убедительных письмах.
Дэвид Шварц из Ripple усилил предупреждение. «Любые письма, которые вы получаете и которые, по всей видимости, исходят от Robinhood (и могут на самом деле поступать из их почтовой системы), являются попытками фишинга», — написал он. Цитируя тред Саббаха, Шварц добавил: «Это довольно хитро».
В апреле 2025 года ведущий разработчик Ethereum Name Service Ник Джонсон задокументировал почти идентичный эксплойт, связанный с письмами, которые, по всей видимости, отправлялись от самого Google.
Злоумышленники использовали аналогичный набор трюков, чтобы задействовать собственную инфраструктуру Google для доставки фишинговых писем с подписью DKIM от [email protected].
Урок тогда — это урок сейчас: остерегайтесь переходить по любым ссылкам в любых письмах, сколь бы подлинными они ни выглядели.
Традиционные антифишинговые советы рекомендуют пользователям проверять домен отправителя и искать ошибки аутентификации. Ничто из этого здесь не помогло. Домен выглядел настоящим. Подписи выглядели настоящими. Преступным было лишь намерение.
Собственное руководство Robinhood по борьбе с мошенничеством рекомендует клиентам проверять домен электронной почты отправителя и указывает @robinhood.com в качестве подлинного примера.
Protos обратился к Robinhood за комментарием, но не получил ответа до момента публикации. На торгах Nasdaq сегодня обыкновенные акции Robinhood открылись без изменений по отношению к цене закрытия пятницы.
Есть подсказка? Отправьте нам письмо безопасно через Protos Leaks. Для получения более актуальных новостей подписывайтесь на нас в X, Bluesky и Google News или подпишитесь на наш канал YouTube.
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
