Warnung vor Phishing-Kampagne gegen Robinhood-Nutzer
David Schwartz, der ehemalige CTO von Ripple, hat eine Warnung ausgesprochen: Eine gezielte Phishing-Kampagne zielt darauf ab, Robinhood-Nutzer durch scheinbar legitime E-Mails auszutricksen, insbesondere im Vorfeld des Gewinnberichts des Unternehmens. Laut Schwartz beinhalten diese Angriffe E-Mails, die angeblich aus dem System von Robinhood stammen und dabei Authentifizierungsprüfungen wie SPF, DKIM und DMARC erfolgreich bestehen. Dies lässt die Nachrichten für die Empfänger glaubwürdig erscheinen.
„WARNUNG: Alle E-Mails, die Sie erhalten, die von Robinhood zu stammen scheinen (und möglicherweise tatsächlich von ihrem E-Mail-System stammen), sind Phishing-Versuche.“
Die von Schwartz geteilten Details zeigen, dass die E-Mails eine Anmeldebenachrichtigung enthalten, die Zeit, Gerät und eine Fall-ID auflistet, zusammen mit einer Aufforderung an die Nutzer, „Aktivität jetzt überprüfen“. Das Layout und das Branding der Nachricht entsprechen der offiziellen Kommunikation, jedoch soll der eingebettete Button eine Phishing-Sequenz initiieren, die darauf abzielt, die Anmeldeinformationen der Nutzer zu stehlen.
Schwartz erklärte die ungewöhnliche Zustellungsmethode und äußerte den Verdacht, dass die E-Mails „irgendwie in die tatsächliche E-Mail-Infrastruktur von Robinhood injiziert wurden“. Er beschrieb die Ausnutzung als „ziemlich heimlich“. Die Fähigkeit, standardmäßige Authentifizierungsprüfungen zu bestehen, erhöht laut seiner Beobachtung die Wahrscheinlichkeit, dass Nutzer der Kommunikation vertrauen.
Details zum Angriffsvektor
Ein Einblick, auf den Schwartz von Abdel Sabbah verweist, skizziert einen möglichen Angriffsvektor, der den „Punkt-Trick“ von Gmail beinhaltet, der mehrere Variationen derselben E-Mail-Adresse ermöglicht. Sabbah erklärte, dass Angreifer ein Robinhood-Konto unter Verwendung solcher Variationen erstellt und einen Gerätenamen mit schädlichem HTML-Code versehen hätten. Das System von Robinhood reinigt dieses Feld nicht, wodurch die HTML-Nutzlast in offiziellen E-Mails von [email protected] gerendert wird. Das Ergebnis ist eine vollständig authentifizierte Nachricht, die legitim erscheint, aber versteckte schädliche Elemente enthält.
Risiken für Kryptowährungsnutzer
Phishing-Angriffe stellen weiterhin ein erhebliches Risiko für Kryptowährungsnutzer dar. In den letzten Tagen wurden mehrere Kampagnen auf Wallet-Plattformen gemeldet. Wie zuvor von crypto.news berichtet, wurden MetaMask-Nutzer von einer Phishing-Kampagne ins Visier genommen, die einen gefälschten Zwei-Faktor-Authentifizierungsprozess bewarb, laut der Blockchain-Sicherheitsfirma SlowMist. Die gefälschten E-Mails verwendeten das Branding von MetaMask und enthielten einen Countdown-Timer, der die Nutzer unter Druck setzen sollte, sofort zu handeln.
SlowMist stellte fest, dass Opfer, die auf die Aufforderung „2FA jetzt aktivieren“ klickten, auf eine bösartige Website umgeleitet wurden, die nach ihrer Seed-Phrase fragte, wodurch Angreifer vollen Zugriff auf die Wallet-Fonds erhielten. Das Unternehmen betonte, dass solche Kampagnen oft auf kleinen Inkonsistenzen basieren, einschließlich falsch geschriebener Domains und ungewöhnlicher Absenderadressen, um die anfängliche Prüfung zu umgehen.
