В эти выходные клиенты Robinhood получили несколько фишинговых писем. Сообщения имели правдоподобные заголовки, они были правильно подписаны, включали подлинный адрес отправителя, отправлены с подлинного почтового сервера и не были заблокированы спам-фильтрами.
Более того, письмо от noreply@robinhood.com попало в те же переписки Gmail, что и предыдущие легальные оповещения о безопасности от Robinhood.
Единственными мошенническими элементами в электронном письме были незначительные технические неполадки и его призыв к действию, требующий ввода учётных данных для входа в систему.
Исследователь в области безопасности Абдель Саббах опубликовал анализ произошедшего, назвав его «довольно красивым».
Для осуществления атаки сначала хакер использовал «трюк с точкой» в Gmail, известную функцию Google, благодаря которой адреса user@gmail.com, u.ser@gmail.com и us.er@gmail.com попадают в один и тот же почтовый ящик.
Gmail, в отличие от других сервисов, игнорирует точки в адресе перед символом @, поэтому все эти варианты попадают в один и тот же почтовый ящик.
Поскольку Robinhood, в отличие от Gmail, не нормализует варианты с точкой, злоумышленник использовал модифицированную версию легитимных писем клиентов Robinhood с точкой.
Затем злоумышленник установил имя устройства в новой учётной записи в виде блока необработанного HTML-кода. Когда генерируется письмо Robinhood о «неопознанной активности», шаблон вставляет это имя устройства без проверки, создавая вредоносный HTML-код.
В результате, по словам Саббаха, получилось то, что выглядело как «настоящее письмо от noreply@robinhood.com, с пройденными DKIM, SPF и DMARC, но с фишинговым призывом к действию».
Разумеется, поддельное электронное письмо содержало гиперссылку на контролируемую злоумышленником веб-страницу, которая собирала учётные данные для входа и коды двухфакторной аутентификации.
Конечная цель, как и почти во всех фишинговых кампаниях, заключалась в краже денег клиентов, в данном случае, с их счёта в Robinhood.
Заместитель главного редактора Happy Coin News. Образование: экономист. Второе образование маркетинг. В криптоиндустрии с 2014 года. Неоднократно выступал в качестве эксперта на РБК. Биткоин — это не спекуляции, а свобода. Но, свобода требует личной ответственности.
