Phishing-kampagne rettet mod Robinhood-brugere
David Schwartz, tidligere CTO for Ripple, har advaret om, at en målrettet phishing-kampagne er begyndt at udnytte Robinhood-brugere gennem tilsyneladende legitime e-mails forud for virksomhedens indtjeningsrapport. Ifølge Schwartz involverer angrebet e-mails, der ser ud til at stamme fra Robinhoods eget system, med autentificeringskontroller som SPF, DKIM og DMARC, der passerer succesfuldt. Dette får beskederne til at fremstå ægte for modtagerne.
“ADVARSEL: Enhver e-mail, du modtager, der ser ud til at være fra Robinhood (og som faktisk kan være fra deres e-mailsystem), er et phishing-forsøg,” skrev han i et indlæg på X.
Oplysninger delt af Schwartz viser, at e-mails inkluderer en login-advarsel, der angiver tid, enhed og en sag-ID, sammen med en opfordring til brugerne om at “Gennemgå aktivitet nu.” Beskedens layout og branding spejler officiel kommunikation, men den indlejrede knap angiveligt initierer en phishing-sekvens designet til at fange brugerens legitimationsoplysninger.
Schwartz forklarede den usædvanlige leveringsmetode og sagde, at han mener, at e-mailsene er blevet “på en eller anden måde injiceret i Robinhoods faktiske e-mailinfrastruktur,” og beskrev senere udnyttelsen som “ret snedig.” Evnen til at bestå standard autentificeringskontroller øger sandsynligheden for, at brugerne stoler på kommunikationen, ifølge hans observation.
Mulig angrebsvektor
Indsigt nævnt af Schwartz fra Abdel Sabbah skitserer en mulig angrebsvektor, der involverer Gmail’s “dot trick,” som tillader flere variationer af den samme e-mailadresse. Sabbah sagde, at angribere oprettede en Robinhood-konto ved hjælp af sådanne variationer og tildelte et enhedsnavn indlejret med ondsindet HTML-kode. Ifølge Sabbah renser Robinhoods system ikke dette felt, hvilket gør det muligt for HTML-payloaden at blive gengivet i officielle e-mails sendt fra [email protected]. Resultatet er en fuldt autentificeret besked, der ser legitim ud, men indeholder skjulte ondsindede elementer.
Vedholdende risiko for kryptovaluta-brugere
Phishing-angreb har fortsat udgjort en vedholdende risiko for kryptovaluta-brugere, med flere kampagner rapporteret på tværs af wallet-platforme i de seneste dage. Som tidligere rapporteret af crypto.news, blev MetaMask-brugere målrettet af en phishing-kampagne, der promoverede en falsk to-faktor autentificeringsproces, ifølge blockchain-sikkerhedsfirmaet SlowMist. De spoofede e-mails brugte MetaMask-branding og inkluderede en nedtællingstimer designet til at presse brugerne til øjeblikkelig handling.
SlowMist sagde, at ofre, der klikkede på “Aktiver 2FA nu”-opfordringen, blev omdirigeret til en ondsindet hjemmeside, der anmodede om deres seed phrase, hvilket gav angriberne fuld adgang til wallet-fonde. Firmaet bemærkede, at sådanne kampagner ofte er afhængige af små uoverensstemmelser, herunder forkert stavede domæner og usædvanlige afsenderadresser, for at omgå den indledende kontrol.
