Les utilisateurs de Robinhood sont avertis d'une nouvelle attaque d'hameçonnage qui exploite la fonctionnalité native de Gmail appelée « point alias » ainsi qu'une vulnérabilité dans le processus de création de compte Robinhood pour envoyer des e-mails malveillants.
Dimanche, les utilisateurs de Robinhood ont commencé à signaler sur les réseaux sociaux avoir reçu des e-mails provenant du serveur de messagerie de la plateforme, les avertissant d'une connexion depuis un appareil non reconnu et incluant un bouton d'action menant à un site de phishing.
Source : David Gobaud
Alex Eckelberry, chercheur en cybersécurité et PDG d'une entreprise technologique, a déclaré que cette campagne d'hameçonnage n'était pas due à une violation informatique, mais exploitait une fonctionnalité native de Gmail, à savoir l'ignorance des points dans les adresses e-mail, ainsi que « plusieurs vulnérabilités graves » dans les paramètres de compte Robinhood.
Auparavant, la société de sécurité blockchain Hacken a rapporté début ce mois-ci que, au premier trimestre 2026, les attaques de phishing et d'ingénierie sociale dominaient les attaques cryptographiques, entraînant des pertes de 306 millions de dollars.
Source : Alex Eckelberry
Des pirates ont créé des comptes Robinhood falsifiés
Eckelberry a déclaré que cette arnaque repose sur l'utilisation par les fraudeurs d'adresses e-mail fortement similaires à celles des cibles pour créer des comptes sur Robinhood.
Par exemple, l'adresse e-mail d'un utilisateur de Robinhood pourrait être « [email protected] ». Les fraudeurs créeront alors un nouveau compte Robinhood sans le point intermédiaire, par exemple « [email protected] ».
Bien que Robinhood les considère comme des comptes complètement distincts, Gmail ignore les points dans la partie nom d'utilisateur de l'adresse e-mail. Cela signifie que les fraudeurs peuvent tromper Robinhood pour qu'il envoie automatiquement des e-mails destinés à leur faux compte directement dans la boîte de réception de la victime.
Pour intégrer un lien d'hameçonnage dans l'e-mail automatique envoyé lors de la création d'un nouveau compte Robinhood, les fraudeurs ajoutent ensuite des instructions HTML dans le champ facultatif « Nom de l'appareil » de Robinhood, que Gmail interprète comme des instructions de mise en forme.
Source : Abdel
« Le résultat final est un e-mail authentique provenant de "[email protected]" qui a passé les vérifications SPF, DKIM et DMARC. Il semble entièrement légitime, mais contient désormais un texte d'avertissement falsifié injecté et un bouton de phishing fonctionnel. Cliquer sur ce bouton redirige vers un site de connexion falsifié », a déclaré Eckelberry.
L'e-mail n'est dangereux qu'après ajout d'informations.
Eckelberry indique que se rendre sur un site de connexion falsifié ne suffit pas pour permettre aux pirates d'accéder au compte, mais si l'utilisateur saisit des informations sensibles telles qu'un mot de passe, les acteurs malveillants pourraient réussir.
Le compte d'assistance de Robinhood sur X a publié une déclaration lundi, confirmant que certains utilisateurs ont reçu des e-mails falsifiés provenant de "[email protected]" avec pour objet « Your recent login to Robinhood », et a attribué le problème à l'exploitation du « processus de création de compte ».
“Ils ont déclaré : « Cette tentative d’hameçonnage a réussi en raison de l’abus du processus de création de compte. Il ne s’agit pas d’une violation de notre système ou des comptes clients, et les informations personnelles ainsi que les fonds n’ont pas été affectés. »»
Si vous avez reçu cet e-mail, veuillez le supprimer et ne cliquez sur aucun lien suspect. Si vous avez déjà cliqué sur un lien suspect ou si vous avez des questions concernant votre compte, contactez-nous directement via l’application Robinhood ou son site web.