Babala sa Phishing Campaign
Nagbigay ng babala si David Schwartz, ang dating CTO ng Ripple, tungkol sa isang nakatutok na phishing campaign na umaabuso sa mga gumagamit ng Robinhood sa pamamagitan ng mga tila lehitimong email bago ang ulat ng kita ng kumpanya. Ayon kay Schwartz, ang atake ay kinabibilangan ng mga email na tila nagmumula sa sariling sistema ng Robinhood, na may mga authentication checks tulad ng SPF, DKIM, at DMARC na matagumpay na pumasa, na nagiging sanhi upang magmukhang tunay ang mga mensahe sa mga tumanggap.
“BABALA: Anumang mga email na natanggap mo na tila mula sa Robinhood (at maaaring talagang mula sa kanilang email system) ay mga pagtatangkang phishing,”
isinulat niya sa isang post sa X. Ang mga detalye na ibinahagi ni Schwartz ay nagpapakita na ang mga email ay may kasamang alerto sa pag-login na naglilista ng oras, aparato, at isang case ID, kasama ang isang prompt na nag-uudyok sa mga gumagamit na Suriin ang Aktibidad Ngayon. Ang layout ng mensahe at branding ay kahawig ng opisyal na komunikasyon, ngunit ang nakapaloob na button ay iniulat na nagsisimula ng isang phishing sequence na dinisenyo upang makuha ang mga kredensyal ng gumagamit.
Paraan ng Paghahatid
Ipinaliwanag ni Schwartz ang hindi pangkaraniwang paraan ng paghahatid, sinabing naniniwala siyang ang mga email ay “sa isang paraan ay na-inject sa aktwal na email infrastructure ng Robinhood,” na inilarawan ang exploit bilang “medyo tuso.” Ang kakayahang makapasa sa mga karaniwang authentication checks ay nagpapataas ng posibilidad na pagkatiwalaan ng mga gumagamit ang komunikasyon, ayon sa kanyang obserbasyon.
Posibleng Attack Vector
Ang pananaw na binanggit ni Schwartz mula kay Abdel Sabbah ay naglalarawan ng isang posibleng attack vector na kinasasangkutan ng “dot trick” ng Gmail, na nagpapahintulot ng maraming bersyon ng parehong email address. Sinabi ni Sabbah na lumikha ang mga umaatake ng isang Robinhood account gamit ang mga ganitong bersyon at nagtalaga ng pangalan ng aparato na may nakapaloob na nakakapinsalang HTML code. Ayon kay Sabbah, ang sistema ng Robinhood ay hindi nag-sanitize sa larangang ito, na nagpapahintulot sa HTML payload na mag-render sa loob ng mga opisyal na email na ipinadala mula sa [email protected]. Ang resulta ay isang ganap na na-authenticate na mensahe na mukhang lehitimo ngunit naglalaman ng mga nakatagong nakakapinsalang elemento.
Patuloy na Panganib
Ang mga phishing attack ay patuloy na nagiging isang patuloy na panganib sa mga gumagamit ng cryptocurrency, na may maraming kampanya na naiulat sa mga wallet platforms sa mga nakaraang araw. Tulad ng naunang iniulat ng crypto.news, ang mga gumagamit ng MetaMask ay tinarget ng isang phishing campaign na nag-promote ng isang pekeng proseso ng two-factor authentication, ayon sa blockchain security firm na SlowMist. Ang mga pekeng email ay gumamit ng branding ng MetaMask at naglalaman ng isang countdown timer na dinisenyo upang pilitin ang mga gumagamit na kumilos agad.
Sinabi ng SlowMist na ang mga biktima na nag-click sa prompt na “I-enable ang 2FA Ngayon” ay na-redirect sa isang nakakapinsalang website na humiling ng kanilang seed phrase, na nagbibigay sa mga umaatake ng buong access sa mga pondo ng wallet. Binanggit ng firm na ang mga ganitong kampanya ay madalas na umaasa sa maliliit na hindi pagkakaunawaan, kabilang ang maling spelling ng mga domain at hindi pangkaraniwang mga address ng nagpadala, upang makaiwas sa paunang pagsusuri.
