Phishing-kampanje rettet mot Robinhood-brukere
David Schwartz, tidligere CTO i Ripple, har advart om en målrettet phishing-kampanje som utnytter Robinhood-brukere gjennom tilsynelatende legitime e-poster før selskapets inntjeningsrapport. Ifølge Schwartz involverer angrepet e-poster som ser ut til å komme fra Robinhoods eget system, med autentiseringstester som SPF, DKIM og DMARC som passerer vellykket. Dette gjør at meldingene fremstår som ekte for mottakerne.
«ADVARSEL: Alle e-poster du mottar som ser ut til å være fra Robinhood (og som faktisk kan være fra deres e-postsystem) er phishing-forsøk,» skrev han i et innlegg på X.
Detaljer om phishing-angrepet
Detaljer delt av Schwartz viser at e-postene inkluderer en påloggingsvarsling som lister opp tid, enhet og en sak-ID, sammen med en oppfordring til brukerne om å «Gjennomgå aktivitet nå.» Meldingsoppsettet og merkevaren speiler offisiell kommunikasjon, men den innebygde knappen angivelig initierer en phishing-sekvens designet for å fange brukerlegitimasjon. Schwartz forklarte den uvanlige leveringsmetoden og sa at han tror e-postene ble «på en eller annen måte injisert i Robinhoods faktiske e-postinfrastruktur,» og beskrev senere utnyttelsen som «ganske snikende.»
Evnen til å bestå standard autentiseringstester øker sannsynligheten for at brukerne stoler på kommunikasjonen, ifølge hans observasjon. Innsikt referert av Schwartz fra Abdel Sabbah skisserer en mulig angrepsvektor som involverer Gmail’s «dot trick,» som tillater flere variasjoner av den samme e-postadressen. Sabbah sa at angriperne opprettet en Robinhood-konto ved å bruke slike variasjoner og tildelte et enhetsnavn innebygd med ondsinnet HTML-kode. Robinhoods system, ifølge Sabbah, renser ikke dette feltet, noe som gjør at HTML-payloaden kan gjengis inne i offisielle e-poster sendt fra [email protected]. Resultatet er en fullt autentisert melding som ser legitim ut, men inneholder skjulte ondsinnede elementer.
Vedvarende risiko for kryptovaluta-brukere
Phishing-angrep har fortsatt å utgjøre en vedvarende risiko for kryptovaluta-brukere, med flere kampanjer rapportert på tvers av lommebokplattformer de siste dagene. Som tidligere rapportert av crypto.news, ble MetaMask-brukere målrettet av en phishing-kampanje som promoterte en falsk to-faktor autentiseringsprosess, ifølge blockchain-sikkerhetsfirmaet SlowMist. De forfalskede e-postene brukte MetaMask-merkevaren og inkluderte en nedtellingstimer designet for å presse brukerne til umiddelbar handling. SlowMist sa at ofrene som klikket på «Aktiver 2FA nå»-oppfordringen ble omdirigert til et ondsinnet nettsted som ba om deres frøfrase, noe som ga angriperne full tilgang til lommebokmidler. Firmaet bemerket at slike kampanjer ofte er avhengige av små inkonsekvenser, inkludert feilstavede domener og uvanlige avsenderadresser, for å omgå innledende granskning.
