Robinhoodova greška u otvaranju računa iskorištena za slanje phishing e-poruka

Online platforma za trgovanje Robinhood objavila je da je napadnut njezin proces otvaranja računa kako bi napadači kroz legitimne e-poruke umetnuli phishing poruke. Zbog toga su korisnici dobivali poruke koje su izgledale kao uobičajena sigurnosna upozorenja o prijavi s neprepoznatog uređaja, iako nisu potjecale iz stvarnog sigurnosnog incidenta na njihovim računima.

Prema opisu incidenta, korisnici su od jučer navečer počeli dobivati e-poruke s naslovom “Your recent login to Robinhood”, u kojima se navodilo da je otkriven “Unrecognized Device Linked to Your Account”. U poruci su bili prikazani neobični IP adresa, djelomični telefonski broj i gumb “Review Activity Now”, koji je vodio na phishing stranicu na domeni robinhood[.]casevaultreview[.]com. Ta je stranica u međuvremenu nedostupna, a objavljene snimke zaslona upućuju na pokušaj krađe vjerodajnica za Robinhood.

Ono što je poruke činilo uvjerljivima jest činjenica da su stigle s legitimne adrese noreply@robinhood.com i da su prošle SPF i DKIM provjere, pa su u poštanskim klijentima mogle izgledati kao stvarna Robinhoodova obavijest. Napadači su, prema opisu, iskoristili slabost u procesu onboardinga odnosno otvaranja računa koja je dopuštala umetanje proizvoljnog HTML-a u e-poruke za potvrdu računa. Umjesto čistog teksta, zlonamjerni sadržaj ubačen je u polje Device: u poruci, pa je e-pošta prikazivala lažnu obavijest o neprepoznatom uređaju.

Robinhood je potvrdio incident u objavi na X-u i naveo da je riječ o zloupotrebi procesa otvaranja računa, a ne o proboju njegovih sustava ili korisničkih računa. U toj izjavi tvrtka je navela i da osobni podaci i sredstva nisu bili pogođeni. Prema naknadnoj provjeri, tvrtka je uklonila polje Device: iz e-poruka za stvaranje računa, čime je zatvorila način na koji je napad izveden.

Za napad su, prema opisu, vjerojatno korištene i adrese e-pošte prikupljene iz ranijih povreda podataka, a spominje se i Robinhoodov napad iz studenoga 2021. koji je pogodio 7 milijuna korisnika. Napadači su dodatno koristili Gmailovo ponašanje s točkama u adresi, gdje umetanje točaka ne mijenja odredište poruke, pa je bilo moguće registrirati račune s varijacijama stvarnih adresa, a poruke su i dalje stizale pravim primateljima. Robinhood je korisnicima koji su dobili poruku savjetovao da je obrišu i ne otvaraju poveznice.