피싱 캠페인 경고
Ripple의 전 CTO인 David Schwartz는 Robinhood의 수익 보고서 발표를 앞두고, 합법적인 이메일처럼 보이는 피싱 캠페인이 Robinhood 사용자들을 대상으로 시작되었다고 경고했다. Schwartz에 따르면, 이 공격은 Robinhood의 자체 시스템에서 발송된 것처럼 보이는 이메일을 포함하며, SPF, DKIM, DMARC와 같은 인증 검사를 성공적으로 통과하여 수신자에게 진짜처럼 보이게 만든다.
“경고: Robinhood에서 온 것처럼 보이는 이메일(실제로는 그들의 이메일 시스템에서 온 것일 수 있음)은 피싱 시도입니다.”
Schwartz가 공유한 세부 사항에 따르면, 이 이메일에는 시간, 장치 및 사례 ID를 나열한 로그인 경고가 포함되어 있으며, 사용자에게 “지금 활동 검토하기”라는 프롬프트를 제공한다. 메시지의 레이아웃과 브랜딩은 공식 커뮤니케이션을 반영하지만, 내장된 버튼은 사용자 자격 증명을 캡처하기 위해 설계된 피싱 시퀀스를 시작한다고 전해진다.
Schwartz는 이 비정상적인 전달 방법에 대해 이메일이 “어떻게든 Robinhood의 실제 이메일 인프라에 주입되었다고 믿는다”고 설명하며, 이 취약점을 “상당히 교활하다”고 묘사했다. 표준 인증 검사를 통과할 수 있는 능력은 사용자가 이 커뮤니케이션을 신뢰할 가능성을 높인다고 그의 관찰에 따르면 밝혔다.
공격 벡터와 사례
Schwartz가 인용한 Abdel Sabbah의 통찰력은 Gmail의 “점 트릭”을 포함한 가능한 공격 벡터를 설명하며, 이는 동일한 이메일 주소의 여러 변형을 허용한다. Sabbah는 공격자들이 이러한 변형을 사용하여 Robinhood 계정을 생성하고 악성 HTML 코드가 포함된 장치 이름을 할당했다고 말했다.
Sabbah에 따르면, Robinhood의 시스템은 이 필드를 정리하지 않아서 HTML 페이로드가 [email protected]에서 발송된 공식 이메일 내에서 렌더링될 수 있게 한다. 그 결과, 합법적으로 보이지만 숨겨진 악성 요소가 포함된 완전 인증된 메시지가 생성된다.
지속적인 위험
피싱 공격은 최근 며칠 동안 여러 지갑 플랫폼에서 보고된 여러 캠페인과 함께 암호화폐 사용자에게 지속적인 위험을 초래하고 있다. crypto.news에 의해 이전에 보도된 바와 같이, 블록체인 보안 회사 SlowMist에 따르면 MetaMask 사용자는 가짜 이중 인증 프로세스를 홍보하는 피싱 캠페인의 표적이 되었다.
스푸핑된 이메일은 MetaMask 브랜딩을 사용했으며, 사용자가 즉각적인 조치를 취하도록 압박하는 카운트다운 타이머를 포함하고 있었다. SlowMist는 “지금 2FA 활성화” 프롬프트를 클릭한 피해자들이 시드 문구를 요청하는 악성 웹사이트로 리디렉션되었으며, 이는 공격자에게 지갑 자금에 대한 완전한 접근을 허용했다고 밝혔다.
이 회사는 이러한 캠페인이 종종 철저한 검토를 우회하기 위해 잘못된 도메인 철자 및 비정상적인 발신자 주소와 같은 작은 불일치에 의존한다고 언급했다.
