Phishing-kampanja Robinhood-käyttäjiä vastaan
Ripple’n entinen CTO David Schwartz on varoittanut, että kohdennettu phishing-kampanja on alkanut hyödyntää Robinhood-käyttäjiä näennäisesti laillisilta vaikuttavien sähköpostien kautta ennen yrityksen tulosraporttia. Schwartzin mukaan hyökkäys sisältää sähköposteja, jotka näyttävät olevan peräisin Robinhoodin omasta järjestelmästä.
Hyökkäyksen yksityiskohdat
Autentikointitarkastukset, kuten SPF, DKIM ja DMARC, läpäisevät onnistuneesti, mikä saa viestit näyttämään aidoilta vastaanottajille. ”
VAROITUS: Kaikki sähköpostit, jotka näyttävät olevan Robinhoodilta (ja saattavat todellakin olla heidän sähköpostijärjestelmästään), ovat phishing-yrityksiä,”
hän kirjoitti X:ssä.
Schwartzin jakamat tiedot osoittavat, että sähköpostit sisältävät kirjautumisvaroituksen, jossa on aika, laite ja tapaus-ID, sekä kehotuksen, joka kannustaa käyttäjiä Tarkista aktiviteetti nyt. Viestin asettelu ja brändäys muistuttavat virallista viestintää, mutta upotettu painike aloittaa ilmeisesti phishing-jakson, joka on suunniteltu kaappaamaan käyttäjätunnuksia.
Hyökkäyksen taustat
Selittäessään epätavallista toimitustapaa Schwartz sanoi uskovansa, että sähköpostit oli ”jollain tavalla injektoitu Robinhoodin todelliseen sähköpostirakenteeseen” ja kuvasi hyökkäystä ”melko ovelaksi.” Mahdollisuus läpäistä standardit autentikointitarkastukset lisää käyttäjien luottamusta viestintään, hänen havaintojensa mukaan.
Schwartzin viittaama tieto Abdel Sabbahilta hahmottaa mahdollista hyökkäysvektoria, joka liittyy Gmailin ”pistekikkaan”, joka mahdollistaa useita variaatioita samasta sähköpostiosoitteesta. Sabbah kertoi, että hyökkääjät loivat Robinhood-tilin käyttäen tällaisia variaatioita ja määrittivät laitenimen, johon oli upotettu haitallista HTML-koodia.
Robinhoodin järjestelmä, Sabbahin mukaan, ei puhdista tätä kenttää, mikä mahdollistaa HTML-kuorman renderöitymisen virallisissa sähköposteissa, jotka on lähetetty [email protected]. Tulos on täysin autentikoitu viesti, joka näyttää lailliselta, mutta sisältää piilotettuja haitallisia elementtejä.
Phishing-hyökkäysten jatkuva riski
Phishing-hyökkäykset ovat jatkuva riski kryptovaluuttakäyttäjille, ja useita kampanjoita on raportoitu lompakkoplatformeilla viime päivinä. Kuten crypto.news aiemmin raportoi, MetaMask-käyttäjiä kohdistettiin phishing-kampanjaan, joka mainosti vale kaksivaiheista todennusta, blockchain-turvayritys SlowMist kertoi.
Vale-sähköpostit käyttivät MetaMaskin brändiä ja sisälsivät laskurin, joka oli suunniteltu painostamaan käyttäjiä välittömään toimintaan. SlowMist sanoi, että uhrit, jotka napsauttivat ”Ota 2FA käyttöön nyt” -kehotusta, ohjattiin haitalliselle verkkosivustolle, joka pyysi heidän siemenlausekkeensa, antaen hyökkääjille täydet oikeudet lompakon varoihin.
Yritys huomautti, että tällaiset kampanjat luottavat usein pieniin epäjohdonmukaisuuksiin, kuten väärin kirjoitettuihin verkkotunnuksiin ja epätavallisiin lähettäjäosoitteisiin, kiertääkseen alkuperäisen tarkastelun.
