Предупреждение о фишинговой кампании
Бывший CTO Ripple Дэвид Шварц предупредил о начале целевой фишинговой кампании, нацеленной на пользователей Robinhood. Злоумышленники рассылают письма, которые выглядят как легитимные уведомления от самой компании, особенно в преддверии отчета о доходах. По словам Шварца, эти письма проходят проверки аутентификации, такие как SPF, DKIM и DMARC, что делает их подлинными для получателей.
«ПРЕДУПРЕЖДЕНИЕ: любые письма, которые вы получаете и которые выглядят как от Robinhood (и могут действительно исходить из их системы электронной почты), являются попытками фишинга,» — написал он в посте на X.
Содержание фишинговых писем
Шварц поделился подробностями о том, что письма содержат уведомление о входе с указанием времени, устройства и идентификатора случая, а также призыв к пользователям «Просмотреть активность сейчас.» Дизайн сообщения и брендинг имитируют официальные коммуникации, однако встроенная кнопка инициирует последовательность фишинга, предназначенную для захвата учетных данных пользователей.
Объясняя необычный способ доставки, Шварц отметил, что письма, вероятно, были «как-то внедрены в фактическую инфраструктуру электронной почты Robinhood,» позже описав эксплойт как «довольно хитрый.» Прохождение стандартных проверок аутентификации увеличивает вероятность того, что пользователи доверяют таким сообщениям.
Вектор атаки и уязвимость
Информация, на которую ссылается Шварц, поступила от Абделя Саббаха, который описал возможный вектор атаки, связанный с «точечным трюком» Gmail. Этот трюк позволяет создавать несколько вариантов одного и того же адреса электронной почты. Саббах сообщил, что злоумышленники создали учетную запись Robinhood, используя такие варианты, и внедрили в имя устройства вредоносный HTML-код.
По его словам, система Robinhood не очищает это поле, что позволяет HTML-данным отображаться внутри официальных писем, отправленных с адреса [email protected]. В результате получается полностью аутентифицированное сообщение, которое выглядит легитимным, но содержит скрытые вредоносные элементы.
Постоянный риск фишинговых атак
Фишинговые атаки продолжают представлять собой постоянный риск для пользователей криптовалют. В последние дни было зафиксировано несколько подобных кампаний на платформах кошельков. Как ранее сообщалось на crypto.news, пользователи MetaMask стали жертвами фишинговой кампании, которая продвигала поддельный процесс двухфакторной аутентификации, согласно компании по безопасности блокчейна SlowMist.
Поддельные письма использовали брендинг MetaMask и включали таймер обратного отсчета, чтобы оказать давление на пользователей к немедленным действиям. SlowMist сообщила, что жертвы, которые нажали на призыв «Включить 2FA сейчас,» были перенаправлены на вредоносный веб-сайт, который запрашивал их сид-фразу, предоставляя злоумышленникам полный доступ к средствам в кошельке.
Компания отметила, что такие кампании часто полагаются на небольшие несоответствия, включая неправильно написанные домены и необычные адреса отправителей, чтобы обойти первоначальную проверку.
