Користувачам Robinhood сповіщають про нову фішингову атаку, яка використовує вбудовану функцію Gmail «точкові псевдоніми» та вразливість у процесі створення облікового запису Robinhood для надсилання шкідливих листів.
Неділю користувачі Robinhood почали повідомляти у соціальних мережах, що отримали листи від поштового сервера платформи з попередженням про незареєстрований доступ з іншого пристрою, а кнопка «дія» посилалася на фішинговий веб-сайт.
Джерело: David Gobaud
Сітковий дослідник та генеральний директор технологічної компанії Алекс Екельберрі сказав, що ця фішингова кампанія не була результатом хакерського вторгнення, а використовувала вбудовану функцію Gmail — ігнорування крапок у адресах електронної пошти — а також «кілька серйозних вразливостей» у налаштуваннях облікового запису Robinhood.
Раніше компанія з безпеки блокчейну Hacken повідомила на початку цього місяця, що в першому кварталі 2026 року фішингові та соціальні інженерні атаки домінували в атаках на криптовалюту, завдавши збитків на 306 мільйонів доларів США.
Джерело: Alex Eckelberry
Хакери створили фальшиві облікові записи Robinhood
Екельберрі зазначив, що цей шахрайський сценарій залежить від того, що шахраї використовують електронні листи, дуже схожі на адреси пошти цілей, для створення облікових записів на Robinhood.
Наприклад, електронна пошта користувача Robinhood може бути «[email protected]». Мошеники створюють новий обліковий запис Robinhood без крапки посередині, наприклад, «[email protected]».
Хоча Robinhood сприймає їх як абсолютно різні облікові записи, Gmail ігнорує крапки в частині імені користувача електронної пошти. Це означає, що шахраї можуть навести Robinhood на автоматичну відправку листів, призначених для їхніх фальшивих облікових записів, але ці листи потраплять у скриньку отримувача.
Щоб вставити фішингове посилання в автоматичні листи, що надсилаються під час створення нового облікового запису Robinhood, шахраї додають HTML-інструкції до необов’язкового поля «Назва пристрою» Robinhood, а Gmail сприймає їх як форматувальні команди.
Джерело: Abdel
«Остаточний результат — це справжній лист від "[email protected]", який пройшов перевірку SPF, DKIM і DMARC. Він виглядає абсолютно легітимно, але тепер містить вставлений хибний попереджувальний текст та робочу фішингову кнопку. Натискання на цю кнопку переносить на фальшивий вхідний сайт», — сказав Екельберрі.
Лише після додавання інформації цей лист стає небезпечним
Екельберрі зазначив, що просто відвідування фальшивого веб-сайту входу не достатнє для того, щоб хакери отримали доступ до облікового запису, але якщо ввести такі чутливі дані, як пароль, зловмисники можуть досягти успіху.
Обслуговування Robinhood у X опублікувало заяву в понеділок, підтвердивши, що деякі користувачі отримали підроблені листи від "[email protected]" із темою «Ваш останній вхід до Robinhood», і пояснило проблему використання «процесу створення облікового запису».
«Ця фішингова спроба вдалася через зловживання процесом створення облікового запису. Це не є результатом компрометації нашої системи чи облікових записів клієнтів, і особисті дані та кошти не були під загрозою», — сказали вони.
Якщо ви отримали цей лист, видаліть його і не натискайте жодні підозрілі посилання. Якщо ви вже натиснули на підозріле посилання або маєте питання щодо свого облікового запису, зв’яжіться з нами безпосередньо через додаток або веб-сайт Robinhood.