Alerta de Phishing en Robinhood
David Schwartz, ex CTO de Ripple, ha alertado sobre una nueva campaña de phishing que está atacando a los usuarios de Robinhood mediante correos electrónicos que aparentan ser legítimos, justo antes del informe de ganancias de la empresa. Según Schwartz, estos correos parecen originarse del propio sistema de Robinhood y logran pasar las verificaciones de autenticación como SPF, DKIM y DMARC, lo que hace que los mensajes se vean auténticos para los destinatarios.
«ADVERTENCIA: Cualquier correo electrónico que recibas que parezca ser de Robinhood (y que puede que realmente provenga de su sistema de correo) son intentos de phishing»
escribió Schwartz en una publicación en X. Los detalles que compartió indican que los correos incluyen una alerta de inicio de sesión que detalla la hora, el dispositivo y un ID de caso, junto con un aviso que insta a los usuarios a «Revisar Actividad Ahora». Aunque el diseño y la marca del mensaje imitan la comunicación oficial, el botón incrustado supuestamente inicia una secuencia de phishing destinada a capturar las credenciales del usuario.
Método de Entrega y Vector de Ataque
Explicando este inusual método de entrega, Schwartz sugirió que los correos electrónicos fueron «de alguna manera inyectados en la infraestructura de correo electrónico real de Robinhood», describiendo la explotación como «bastante astuta». La capacidad de superar las verificaciones de autenticación estándar aumenta la probabilidad de que los usuarios confíen en la comunicación, según su observación.
La información proporcionada por Schwartz, citando a Abdel Sabbah, describe un posible vector de ataque que involucra el «truco de puntos» de Gmail, que permite múltiples variaciones de la misma dirección de correo electrónico. Sabbah explicó que los atacantes crearon una cuenta de Robinhood utilizando estas variaciones y asignaron un nombre de dispositivo que contenía código HTML malicioso. Según Sabbah, el sistema de Robinhood no sanitiza este campo, lo que permite que la carga útil HTML se renderice dentro de correos electrónicos oficiales enviados desde [email protected]. El resultado es un mensaje completamente autenticado que parece legítimo, pero que contiene elementos maliciosos ocultos.
Riesgos Persistentes de Phishing
Los ataques de phishing continúan representando un riesgo persistente para los usuarios de criptomonedas, con múltiples campañas reportadas en plataformas de billetera en los últimos días. Como se informó anteriormente por crypto.news, los usuarios de MetaMask fueron objeto de una campaña de phishing que promovía un falso proceso de autenticación de dos factores, según la firma de seguridad blockchain SlowMist. Los correos electrónicos falsificados usaron la marca de MetaMask e incluyeron un temporizador de cuenta regresiva diseñado para presionar a los usuarios a actuar de inmediato.
SlowMist advirtió que las víctimas que hicieron clic en el aviso «Habilitar 2FA Ahora» fueron redirigidas a un sitio web malicioso que solicitaba su frase semilla, dando a los atacantes acceso completo a los fondos de la billetera. La firma destacó que tales campañas a menudo dependen de pequeñas inconsistencias, incluyendo dominios mal escritos y direcciones de remitente inusuales, para eludir el escrutinio inicial.
