Usuários do Robinhood estão sendo alertados sobre um novo ataque de phishing que explora a função nativa do Gmail de "aliases de ponto" e uma vulnerabilidade no processo de criação de contas do Robinhood para enviar e-mails maliciosos.
No domingo, usuários do Robinhood começaram a relatar nas redes sociais que receberam e-mails provenientes do servidor de e-mail da plataforma, alertando sobre logins de dispositivos não identificados e contendo botões de “chamada para ação” que levavam a sites de phishing.
Fonte: David Gobaud
O pesquisador de segurança cibernética e CEO da empresa de tecnologia Alex Eckelberry afirmou que essa campanha de phishing não foi causada por uma invasão, mas sim pela exploração de uma característica nativa do Gmail, que ignora pontos nos endereços de e-mail, e de “várias falhas graves” nas configurações da conta Robinhood.
Anteriormente, a empresa de segurança blockchain Hacken relatou no início deste mês que, no primeiro trimestre de 2026, ataques de phishing e engenharia social dominaram os ataques criptográficos, causando perdas de US$ 306 milhões.
Fonte: Alex Eckelberry
Hackers created fake Robinhood accounts
Eckelberry afirmou que este golpe depende dos golpistas criarem contas no Robinhood usando e-mails altamente semelhantes ao endereço de e-mail da vítima.
Por exemplo, o endereço de e-mail de um usuário do Robinhood pode ser “[email protected]”. Os golpistas criam uma nova conta do Robinhood sem o ponto intermediário, como “[email protected]”.
Embora o Robinhood os considere contas completamente diferentes, o Gmail ignora os pontos na parte do nome de usuário do endereço de e-mail. Isso significa que os golpistas podem enganar o Robinhood para enviar automaticamente e-mails destinados à sua conta falsa para a caixa de entrada do usuário-alvo.
Para inserir links de phishing no e-mail automático enviado durante a criação de uma nova conta Robinhood, os golpistas adicionam instruções HTML no campo opcional “Nome do Dispositivo” da Robinhood, que o Gmail interpreta como instruções de formatação.
Fonte: Abdel
“O resultado final é um e-mail real de "[email protected]" que passou na verificação SPF, DKIM e DMARC. Parece totalmente legítimo, mas agora contém texto falso injetado e um botão de phishing funcional. Clicar no botão redireciona para um site de login falso,” disse Eckelberry.
Apenas após a adição de informações, este e-mail se torna perigoso.
Eckelberry afirmou que acessar apenas um site de login falso não é suficiente para que os hackers obtenham acesso à conta, mas se informações sensíveis, como a senha, forem inseridas, os agentes maliciosos podem ter sucesso.
A conta de suporte do Robinhood no X publicou um comunicado na segunda-feira, confirmando que alguns usuários receberam e-mails falsificados de "[email protected]" com o assunto "Seu último login no Robinhood", atribuindo o problema ao aproveitamento do "processo de criação de conta".
“This phishing attempt succeeded because the account creation process was abused. It was not due to a breach of our system or customer accounts, and personal information and funds were not affected,” they said.
Se você recebeu este e-mail, apague-o e não clique em nenhum link suspeito. Se já clicou em um link suspeito ou tiver alguma dúvida sobre sua conta, entre em contato conosco diretamente pelo aplicativo ou site do Robinhood.