Пользователям Robinhood предупреждают о новой фишинговой атаке, использующей встроенную функцию Gmail «точечные псевдонимы» и уязвимость в процессе создания учетной записи Robinhood для отправки вредоносных писем.
В воскресенье пользователи Robinhood начали сообщать в социальных сетях, что получили письма от почтового сервера платформы, предупреждающие о входе с неизвестного устройства, при этом кнопка «призыв к действию» ведет на фишинговый сайт.
Источник: David Gobaud
Сетевой исследователь и генеральный директор технологической компании Алекс Экельбери заявил, что эта фишинговая атака не была результатом взлома, а использовала встроенную функцию Gmail — игнорирование точек в адресах электронной почты — а также «несколько серьезных уязвимостей» в настройках учетных записей Robinhood.
Ранее компания по безопасности блокчейна Hacken сообщила в начале этого месяца, что в первом квартале 2026 года фишинговые и социальные инженерные атаки доминировали в криптовалютных атаках, вызвав убытки в размере 306 миллионов долларов США.
Источник: Alex Eckelberry
Хакеры создали фальшивые аккаунты Robinhood
Эккельбери заявил, что эта схема полагается на то, что мошенники создают аккаунты на Robinhood с использованием электронных писем, очень похожих на адреса электронной почты целей.
Например, адрес электронной почты пользователя Robinhood может быть «[email protected]». Мошенники создадут новый аккаунт Robinhood без точки в имени пользователя, например, «[email protected]».
Хотя Robinhood рассматривает их как совершенно разные аккаунты, Gmail игнорирует точки в части имени пользователя электронного адреса. Это означает, что мошенники могут обмануть Robinhood, заставив его автоматически отправлять письма, предназначенные для их фальшивого аккаунта, прямо в почтовый ящик целевого пользователя.
Чтобы вставить фишинговые ссылки в автоматическое письмо, отправляемое при создании нового аккаунта Robinhood, мошенники добавляют HTML-инструкции в необязательное поле «Имя устройства» Robinhood, которое Gmail воспринимает как команды форматирования.
Источник: Abdel
«Итогом является настоящее письмо от "[email protected]", прошедшее проверку SPF, DKIM и DMARC. Оно выглядит абсолютно легитимно, но теперь содержит вставленный ложный предупреждающий текст и рабочую фишинговую кнопку. Нажатие на эту кнопку перенаправляет на поддельный сайт входа», — сказал Экклберри.
Письмо становится опасным только после добавления информации
Эккельбери отметил, что просто посещение фальшивого веб-сайта входа недостаточно для того, чтобы хакеры получили доступ к аккаунту, но если ввести такие чувствительные данные, как пароль, злонамеренные действия могут увенчаться успехом.
Аккаунт поддержки Robinhood в X опубликовал заявление в понедельник, подтвердив, что некоторые пользователи получили поддельные письма от "[email protected]" с темой "Ваш недавний вход в Robinhood", и объяснил проблему использованием "процесса создания учетной записи".
Они заявили: «Эта фишинговая атака удалась из-за злоупотребления процессом создания аккаунтов. Это не означает, что наша система или клиентские аккаунты были взломаны; личная информация и средства остались в безопасности».
Если вы получили это письмо, удалите его и не нажимайте на подозрительные ссылки. Если вы уже нажали на подозрительную ссылку или у вас есть вопросы по поводу вашего аккаунта, свяжитесь с нами напрямую через приложение или веб-сайт Robinhood.