Útočníci zneužili chybu v procesu zakládání účtů na online obchodní platformě Robinhood k vložení phishingových zpráv do legitimních e-mailů, čímž přesvědčili uživatele, že na jejich účtech byla zaznamenána podezřelá aktivita.
Od nedělního večera začali zákazníci Robinhoodu dostávat e-maily s předmětem „Your recent login to Robinhood“ (Vaše nedávné přihlášení do Robinhoodu), v nichž se uvádělo, že bylo zjištěno „nerozpoznané zařízení propojené s vaším účtem“, přičemž e-maily obsahovaly neobvyklé IP adresy a části telefonních čísel.
„Zjistili jsme pokus o přihlášení ze zařízení, které nebylo rozpoznáno,“ stálo ve phishingovém e-mailu. „Pokud jste to nebyli vy, okamžitě zkontrolujte aktivitu svého účtu a zabezpečte ho.“
Součástí e-mailu bylo tlačítko s názvem „Review Activity Now“ (Zkontrolovat aktivitu), které vedlo na phishingový web robinhood[.]casevaultreview[.]com, jenž je v současnosti nedostupný. Snímky obrazovky sdílené na Redditu nicméně naznačují, že web byl s největší pravděpodobností využíván ke krádeži přihlašovacích údajů k Robinhoodu.
Přesvědčivost e-mailů spočívala v tom, že byly odesílány z legitimní e-mailové adresy Robinhoodu noreply@robinhood.com a úspěšně prošly bezpečnostními kontrolami SPF a DKIM.
Zneužití chyby v procesu vytváření účtu
Útočníci zneužili Robinhood k odesílání phishingových e-mailů tak, že využili chybu v procesu registrace nových účtů, která jim umožnila vložit libovolný HTML kód do potvrzovacích e-mailů společnosti.
Při registraci nového účtu Robinhood automaticky zasílá na přidruženou e-mailovou adresu zprávu „Your recent login to Robinhood“ obsahující čas registrace, IP adresu, informace o zařízení a přibližnou polohu.
Aby útočníci mohli phishingovou zprávu vložit, upravili metadata svého zařízení tak, aby obsahovala vložený HTML kód, který Robinhood nedostatečně ošetřoval. Tento kód byl následně vložen do pole „Device:“ (Zařízení) v e-mailu potvrzujícím vytvoření účtu, kde se zobrazil jako falešná zpráva o „nerozpoznaném zařízení propojeném s vaším účtem“.
K cílení na zákazníky Robinhoodu útočníci pravděpodobně využili seznamy e-mailových adres zákazníků pocházející z dřívějších úniků dat. V listopadu 2021 Robinhood čelil úniku dat, který postihl 7 milionů zákazníků, přičemž tato data byla následně nabídnuta k prodeji na hackerském fóru.
Robinhood doporučuje uživatelům, kteří danou zprávu obdrželi, aby ji smazali a neklikali na žádné odkazy.
Zdroj: bleepingcomputer.com
Zdroj: IT SECURITY NETWORK NEWS
