Campagne de Phishing Ciblant les Utilisateurs de Robinhood
David Schwartz, l’ancien CTO de Ripple, a récemment alerté sur une campagne de phishing ciblant les utilisateurs de Robinhood. Cette campagne se manifeste par des emails apparemment légitimes, en particulier avant la publication des résultats financiers de l’entreprise.
Selon Schwartz, cette attaque utilise des emails qui semblent provenir du système de Robinhood, avec des vérifications d’authentification telles que SPF, DKIM et DMARC réussies, ce qui les rend crédibles aux yeux des destinataires.
« AVERTISSEMENT : Tous les emails que vous recevez et qui semblent provenir de Robinhood (et qui peuvent effectivement émaner de leur système de messagerie) sont des tentatives de phishing, » a-t-il écrit dans un post sur X.
Les détails fournis par Schwartz indiquent que ces emails contiennent une alerte de connexion mentionnant l’heure, l’appareil utilisé et un ID de cas, accompagnée d’une incitation à « Vérifier l’activité maintenant. » La mise en page et le branding du message imitent une communication officielle, mais le bouton intégré semble initier une séquence de phishing destinée à capturer les identifiants des utilisateurs.
En expliquant cette méthode de livraison inhabituelle, Schwartz a exprimé sa conviction que les emails avaient été « d’une manière ou d’une autre injectés dans l’infrastructure email réelle de Robinhood, » qualifiant cette exploitation de « plutôt sournoise. » La capacité de contourner les vérifications d’authentification standard augmente la probabilité que les utilisateurs fassent confiance à ces communications, selon ses observations.
Analyse des Méthodes d’Attaque
L’analyse d’Abdel Sabbah, mentionnée par Schwartz, décrit un vecteur d’attaque possible impliquant le « truc des points » de Gmail, qui permet plusieurs variations d’une même adresse email. Sabbah a expliqué que les attaquants avaient créé un compte Robinhood en utilisant ces variations et avaient intégré un nom d’appareil contenant du code HTML malveillant.
Selon lui, le système de Robinhood ne nettoie pas ce champ, permettant ainsi au contenu HTML de s’afficher dans les emails officiels envoyés depuis email@example.com. Le résultat est un message entièrement authentifié qui semble légitime mais contient des éléments malveillants cachés.
Risques Persistants de Phishing
Les attaques de phishing continuent de représenter un risque persistant pour les utilisateurs de cryptomonnaies, avec plusieurs campagnes signalées sur les plateformes de portefeuille ces derniers jours. Comme l’a précédemment rapporté crypto.news, les utilisateurs de MetaMask ont été ciblés par une campagne de phishing promouvant un faux processus d’authentification à deux facteurs, selon la société de sécurité blockchain SlowMist.
Les emails falsifiés utilisaient le branding de MetaMask et incluaient un compte à rebours incitant les utilisateurs à agir immédiatement. SlowMist a précisé que les victimes qui cliquaient sur l’invite « Activer 2FA maintenant » étaient redirigées vers un site web malveillant demandant leur phrase de récupération, donnant ainsi aux attaquants un accès complet aux fonds du portefeuille.
La société a noté que de telles campagnes s’appuient souvent sur de petites incohérences, telles que des domaines mal orthographiés et des adresses d’expéditeur inhabituelles, pour contourner le premier examen.
