Robinhood bekræftede, at bedrageriske e-mails sendt fra [email protected] var et phishingforsøg. Virksomheden udtalte, at angriberne udnyttede deres proces for kontooprettelse uden at kompromittere kundekonti eller virksomhedens systemer.
Den falske besked med emnelinjen “Din seneste login til Robinhood” opfordrede modtagere til at slette den. Kunders saldoer og personlige oplysninger forblev uberørte, skrev virksomhedens hjælpekonto på X.
Phishing-e-mail omgår Robinhoods godkendelse
En Robinhood-kunde, der analyserede den rå .eml-fil, fortalte, at beskeden bestod SPF-, DKIM- og DMARC-tjek. E-mailen stammede fra Robinhoods egen infrastruktur.
Angriberne indsatte HTML i den ægte e-mail-tekst. Indsprøjtningen tilføjede en “Gennemse aktivitet”-knap, som omdirigerede til et domæne ved navn tinzio.net via googletagmanager.com.
David Schwartz, tidligere CTO hos Ripple, påpegede også kampagnen og gjorde opmærksom på, at beskederne muligvis faktisk blev sendt fra Robinhoods e-mailsystem.
“Jeg er ikke helt sikker på, hvad der foregår, men det ser (i hvert fald ud fra et hurtigt kig) ud til, at disse e-mails på en eller anden måde blev indsneget i Robinhoods faktiske e-mailinfrastruktur på et tidspunkt,” advarede han.
Robinhood (HOOD) handlede tæt på 84,71 dollars i mandags om morgenen, op 1,40% på dagen, men registrerede kursfald før markedsåbning på op til 0,3% trods phishing-hændelsen søndag aften.
Hvad Robinhood-kunder bør gøre
Robinhood Help anbefalede berørte kunder at kontakte support via appen eller hjemmesiden i stedet for at klikke på links.
Mægleren opfordrede enhver, der havde interageret med e-mailen, til at skifte adgangskode, rotere tofaktorgodkendelse (2FA) og gennemgå nylig enhedsaktivitet.
Mønstret peger på angreb, hvor godkendelsesstandarder godkendes, selv om e-mailens indhold i sig selv bliver ondsindet.
Robinhood har ikke oplyst, hvordan angriberne fik adgang til kontooprettelsesflowet. Der er heller ikke sagt, om andre kunder modtog lignende beskeder.
