Allerta Phishing per Utenti di Robinhood
David Schwartz, ex CTO di Ripple, ha lanciato un allerta riguardo a una campagna di phishing mirata agli utenti di Robinhood, che utilizza email apparentemente legittime in vista del rapporto sugli utili dell’azienda. Secondo Schwartz, l’attacco coinvolge email che sembrano provenire dal sistema stesso di Robinhood, superando i controlli di autenticazione come SPF, DKIM e DMARC, e facendo apparire i messaggi genuini ai destinatari.
“ATTENZIONE: Qualsiasi email che ricevi che sembra provenire da Robinhood (e potrebbe effettivamente provenire dal loro sistema email) è un tentativo di phishing,” ha scritto in un post su X.
Dettagli dell’Attacco
I dettagli condivisi da Schwartz mostrano che le email includono un avviso di accesso che elenca tempo, dispositivo e un ID caso, insieme a un invito che esorta gli utenti a “Esaminare l’attività ora.” Sebbene il layout del messaggio e il branding rispecchino la comunicazione ufficiale, il pulsante incorporato avvia apparentemente una sequenza di phishing progettata per catturare le credenziali degli utenti.
Spiegando il metodo di consegna insolito, Schwartz ha affermato di credere che le email siano state “in qualche modo iniettate nell’infrastruttura email effettiva di Robinhood,” descrivendo successivamente l’exploit come “piuttosto subdolo.” La capacità di superare i controlli di autenticazione standard aumenta la probabilità che gli utenti si fidino della comunicazione, secondo la sua osservazione.
Vettore d’Attacco e Tecniche Utilizzate
L’analisi citata da Schwartz di Abdel Sabbah delinea un possibile vettore d’attacco che coinvolge il “trucco dei punti” di Gmail, che consente più variazioni dello stesso indirizzo email. Sabbah ha spiegato che gli attaccanti hanno creato un account Robinhood utilizzando tali variazioni e hanno assegnato un nome dispositivo incorporato con codice HTML malevolo.
Secondo Sabbah, il sistema di Robinhood non sanifica questo campo, consentendo al payload HTML di apparire all’interno delle email ufficiali inviate da [email protected]. Il risultato è un messaggio completamente autenticato che appare legittimo ma contiene elementi malevoli nascosti.
Rischi Persistenti di Phishing
Gli attacchi di phishing continuano a rappresentare un rischio persistente per gli utenti di criptovalute, con più campagne segnalate su piattaforme di wallet negli ultimi giorni. Come riportato in precedenza da crypto.news, gli utenti di MetaMask sono stati presi di mira da una campagna di phishing che promuoveva un falso processo di autenticazione a due fattori, secondo la società di sicurezza blockchain SlowMist.
Le email contraffatte utilizzavano il branding di MetaMask e includevano un timer di conto alla rovescia progettato per mettere pressione sugli utenti a intraprendere azioni immediate. SlowMist ha riferito che le vittime che hanno cliccato sul prompt “Abilita 2FA ora” sono state reindirizzate a un sito web malevolo che richiedeva la loro frase seed, dando agli attaccanti accesso completo ai fondi del wallet.
La società ha notato che tali campagne spesso si basano su piccole incoerenze, inclusi domini con errori di ortografia e indirizzi del mittente insoliti, per eludere il controllo iniziale.
