Robinhood підтвердила, що шахрайські електронні листи, розіслані з адреси [email protected], були фішинговою атакою. Компанія заявила, що зловмисники використали вразливість у процесі створення облікового запису, не скомпрометувавши облікові записи клієнтів чи внутрішні системи.
Підроблений лист із темою «Ваш нещодавній вхід у Robinhood» містив рекомендацію видалити його. Стан балансу клієнтів і особисті дані залишились недоторканими, повідомив офіційний сервісний обліковий запис компанії у X.
Фішинговий лист обходить автентифікацію Robinhood
Один із клієнтів Robinhood, який проаналізував оригінальний файл .eml, повідомив, що повідомлення пройшло перевірки SPF, DKIM і DMARC. Джерело електронного листа – власна інфраструктура Robinhood.
Зловмисники здійснили ін’єкцію HTML у тіло легітимного листа. В результаті було впроваджено кнопку «Review Activity», яка спрямовувала користувачів на домен tinzio.net через сервіс googletagmanager.com.
Девід Шварц, почесний технічний директор Ripple, також звернув увагу на цю кампанію, підкресливши, що повідомлення, ймовірно, дійсно відправлені з електронної системи Robinhood.
«Я достеменно не розумію, що відбулося, але, здається, принаймні на перший погляд, що ці електронні листи певним чином були інтегровані у справжню інфраструктуру електронної пошти Robinhood», – застеріг він.
Цінні папери Robinhood (HOOD) торгувалися поблизу $84,71 у понеділок вранці, з підвищенням на 1,40% за день, однак до початку основної сесії зафіксовано зниження до 0,3% попри спробу фішингової атаки ввечері неділі.
Рекомендації для клієнтів Robinhood
Підтримка Robinhood порадила постраждалим користувачам звертатися до служби підтримки лише через мобільний застосунок або офіційний сайт – без переходу за будь-якими посиланнями з листа.
Брокер рекомендував усім, хто взаємодіяв із листом, змінити паролі, перевипустити two-factor authentication (2FA) та переглянути історію дій на пристроях.
Механізм атаки свідчить про випадки, коли електронна пошта проходить стандартні перевірки автентичності, навіть якщо її вміст несе загрозу.
Robinhood не оприлюднила, яким чином зловмисники отримали доступ до процесу створення облікових записів. Також не вказано, чи отримували аналогічні повідомлення інші користувачі.
