A csalók „csodálatos” módon hackelték meg a Robinhood e-mail rendszerét
A Robinhood-felhasználókat célzó adathalász kampány olyan szintre jutott, ami még az elemzőket is meglepte. A csalások többségét megfelelő odafigyeléssel ki lehet szűrni, ám a mostani akció olyat ért el, amit a legtöbb csalás eddig nem tudott.
A hackerek a Robinhood saját e-mail rendszerét használták a felhasználók ellen
A Robinhood ügyfelei a hétvégén különösen igényes adathalász e-mailt kaptak. Az üzenetek teljesen legitim címtől érkeztek, mintha közvetlenül a vállalattól érkeztek volna. Hitelesített fejlécet tartalmaztak, helyesen voltak aláírva, valódi feladó címet tartalmaztak, hiteles e-mail szerverről érkeztek, és még a spamszűrők sem fogták meg őket.
Néhány üzenet még a Gmail automatikus átirányítását is elnyerte, így ugyanabba a beszélgetési mappába került, mint a korábbi, valódi Robinhood biztonsági riasztások. Az egyetlen gyanús elem a tartalomban rejlett, mivel az e-mail adathalász felhívásra hivatkozva kérte be a felhasználók bejelentkezési adatait.
Hogyan csinálták?
A hackerek először a Gmail „pontos trükkjét” használták ki. Egy ismert funkciót, amelynek során a Gmail a user@gmail.com és a u.ser@gmail.com címeket azonosnak tekinti. Mivel a Robinhood nem normalizálja ezeket a változatokat, egy ponttal módosított e-mail-cím lehetővé tette egy új fiók létrehozását egy látszólag legitim cím alatt.
Ezt követően a támadó az új fiók eszköznevét egy nyers HTML-blokkra állította be. Amikor a Robinhood generálta a felismerhetetlen tevékenységről szóló e-mailt, a sablonon keresztül a rosszindulatú HTML közvetlenül az e-mailben jelent meg. Az üzenet a DKIM, SPF és DMARC ellenőrzéseknek is megfelelt, tehát minden olyan tényezőnek, amelyet az anti-phishing útmutatók igyekeznek kiszűrni.
Abdel Sabbah biztonsági kutató elemzésében baljós felhanggal, de egyenesen „gyönyörűnek” nevezte a technikát.
Kapcsolódó: Megint egy hackertámadás, ezúttal a Litecoin az áldozat
Gyorsan reagált a Robinhood
A Robinhood kijavította a fióknyitási folyamatot, és eltávolította a rosszindulatú céloldalt. A vállalat szóvivője megerősítette, hogy közvetlen fiókátvételre nem volt lehetőség, és az ügyfelek pénzeszközei nem kerültek veszélybe.
Érdekelhet: Titokban próbált terjeszkedni a Robinhood, nem sikerült
Az ebből levonható tanulság elég kellemetlen. A hagyományos adathalászat elleni tanácsok ebben az esetben egyáltalán nem nyújtottak védelmet. Amikor a támadók a platform saját infrastruktúráját használják ki, azt egyetlen spamszűrő sem képes kiszűrni.