Robinhood ha confermato che le email fraudolente inviate da [email protected] erano un tentativo di phishing. L’azienda ha dichiarato che gli attaccanti hanno abusato del processo di creazione degli account, senza però compromettere gli account dei clienti né i sistemi aziendali.
Il messaggio falsificato, con oggetto “Il tuo recente accesso a Robinhood”, invitava i destinatari a cancellarlo. I saldi e i dati personali dei clienti sono rimasti intatti, come dichiarato dall’account di assistenza della società su X.
Email di phishing bypassa l’autenticazione di Robinhood
Un cliente di Robinhood che ha analizzato il file .eml grezzo ha affermato che il messaggio ha superato i controlli SPF, DKIM e DMARC. L’email proveniva dall’infrastruttura interna di Robinhood.
Gli attaccanti hanno iniettato codice HTML all’interno del corpo dell’email legittima. L’iniezione includeva un pulsante “Rivedi Attività” che reindirizzava a un dominio chiamato tinzio.net tramite googletagmanager.com.
David Schwartz, CTO emerito presso Ripple, anche ha segnalato la campagna, sottolineando che i messaggi potrebbero effettivamente provenire dal sistema email di Robinhood.
“Non sono sicuro di cosa stia succedendo esattamente, ma sembra (almeno da una rapida analisi) che queste email siano state in qualche modo iniettate nell’infrastruttura email reale di Robinhood”, ha avvertito.
Robinhood (HOOD) era scambiato intorno a $84,71 lunedì mattina, in rialzo dell’1,40% nella giornata, ma ha registrato perdite nel pre-market fino allo 0,3% nonostante l’incidente di phishing di domenica sera.
Cosa devono fare i clienti Robinhood
Robinhood Help ha consigliato ai clienti coinvolti di contattare l’assistenza tramite app o sito web, invece di cliccare sui link presenti nell’email.
La piattaforma di intermediazione ha raccomandato a chiunque abbia interagito con l’email di cambiare password, aggiornare l’autenticazione a due fattori (2FA) e controllare l’attività recente dei dispositivi.
Questo modello fa pensare ad attacchi in cui gli standard di autenticazione vengono superati, anche se il contenuto dell’email stessa è malevolo.
Robinhood non ha spiegato in dettaglio come gli attaccanti abbiano ottenuto l’accesso al flusso di creazione degli account. Non ha nemmeno comunicato se altri clienti abbiano ricevuto messaggi simili.
