مشتریان Robinhood این آخر هفته ایمیلهای فیشینگ بسیار متقاعدکنندهای دریافت کردند. این پیامها که به نظر میرسید مستقیماً از شرکت ارسال شدهاند، دارای هدرهای احراز هویتشده بودند، بهدرستی امضا شده بودند، آدرس فرستنده واقعی داشتند، از یک سرور ایمیل معتبر ارسال شده بودند و توسط فیلترهای اسپم شناسایی نشدند.
بدتر از آن، ایمیل ارسالشده از [email protected] حتی بهطور خودکار توسط Gmail در همان رشته مکالمات مربوط به هشدارهای امنیتی قبلی و معتبر Robinhood قرار گرفت.
تنها چیزهای جعلی در این ایمیل، نامنظمیهای فنی مبهم و محتوای آن بود؛ یک فراخوان فیشینگ برای سرقت اطلاعات ورود.
تا شب یکشنبه، هکرها از خط لوله اعلانهای خود Robinhood برای اجرای حملهشان استفاده کردند.
تحلیل این اکسپلویت بهزودی در شبکههای اجتماعی وایرال شد.
ایمیلهای فیشینگ Robinhood 'نوعی زیبایی' داشتند
محقق امنیتی Abdel Sabbah تحلیلی از این رویداد منتشر کرد و با مفهومی شوم آن را "نوعی زیبایی" نامید. متأسفانه، او حق داشت.
برای طراحی این حمله، هکر ابتدا از "ترفند نقطه" Gmail استفاده کرد؛ یک ویژگی شناختهشده Google که طبق آن Gmail، [email protected]، [email protected] و [email protected] را به یک صندوق ورودی یکسان هدایت میکند.
Gmail، برخلاف بقیه اینترنت، نقطههای موجود در بخش آدرس قبل از نماد @ را نادیده میگیرد، بنابراین تمام این متغیرها به یک صندوق ورودی تحویل داده میشوند.
چون Robinhood، برخلاف Gmail، متغیرهای نقطهدار را یکسانسازی نمیکند، مهاجم از یک نسخه اصلاحشده با "نقطه" از ایمیلهای معتبر مشتریان Robinhood استفاده کرد.
سپس، مهاجم نام دستگاه روی حساب جدید را به یک بلوک HTML خام تنظیم کرد. هنگامی که ایمیل "فعالیت دستگاه ناشناخته" Robinhood تولید میشود، قالب آن نام دستگاه را بدون پاکسازی درج میکند و HTML مخرب را رندر میکند.
نتیجه، به گفته Sabbah، چیزی بود که به نظر میرسید "یک ایمیل واقعی از [email protected]، با تأیید DKIM، تأیید SPF، تأیید DMARC و یک CTA فیشینگ" است.
آن CTA یا "فراخوان به اقدام"، البته، یک ایمیل هشدار امنیتی جعلی با یک لینک به صفحهای تحت کنترل مهاجم است که اطلاعات ورود و کدهای احراز هویت دو عاملی را جمعآوری میکند.
هدف نهایی، مانند تقریباً تمام کمپینهای فیشینگ، سرقت پول مشتریان بود — در این مورد، از حساب Robinhood آنها.
بیشتر بخوانید: Robinhood مبلغ ۶۰۵ میلیون دلار پرداخت میکند تا سهام Sam Bankman-Fried را خریداری کند
قبل از کلیک روی هر ایمیلی فکر کنید
بسیاری از اینفلوئنسرهای کریپتو مردم را درباره این ایمیلهای متقاعدکننده هشدار دادند.
David Schwartz از Ripple این هشدار را تقویت کرد. او نوشت: "هر ایمیلی که دریافت میکنید و به نظر میرسد از Robinhood است (و ممکن است واقعاً از سیستم ایمیل آنها باشد) یک تلاش فیشینگ است." با نقلقول از رشته Sabbah، Schwartz افزود: "این کاملاً موذیانه است."
در فروردین ۱۴۰۴، توسعهدهنده ارشد Ethereum Name Service، Nick Johnson، یک اکسپلویت تقریباً یکسان را مستند کرد که شامل ایمیلهایی میشد که به نظر میرسید از خود Google ارسال شدهاند.
مهاجمان از مجموعهای مشابه از ترفندها برای استفاده از زیرساخت خود Google جهت ارسال ایمیلهای فیشینگ امضاشده با DKIM از [email protected] استفاده کردند.
درس آن زمان همان درس امروز است: مراقب کلیک روی هر لینکی در هر ایمیلی باشید، مهم نیست چقدر معتبر به نظر میرسد.
توصیههای سنتی ضد فیشینگ به کاربران میگوید دامنه فرستنده را بررسی کنند و به دنبال خرابیهای احراز هویت بگردند. هیچکدام از اینها اینجا کمکی نکرد. دامنه واقعی به نظر میرسید. امضاها واقعی به نظر میرسیدند. تنها قصد مجرمانه بود.
راهنمای کلاهبرداری خود Robinhood به مشتریان میگوید دامنه ایمیل فرستنده را تأیید کنند و @robinhood.com را به عنوان نمونه معتبر فهرست میکند.
Protos برای اظهارنظر با Robinhood تماس گرفت اما قبل از زمان انتشار پاسخی دریافت نکرد. در معاملات Nasdaq امروز، سهام عادی Robinhood نسبت به قیمت پایانی جمعه بدون تغییر باز شد.
راهنمایی دارید؟ از طریق Protos Leaks بهصورت امن برای ما ایمیل بفرستید. برای اخبار بیشتر، ما را در X، Bluesky و Google News دنبال کنید، یا در کانال YouTube ما اشتراک بگیرید.
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
