フィッシングキャンペーンの警告
Rippleの元CTOであるデビッド・シュワルツ氏は、Robinhoodのユーザーを狙ったターゲット型フィッシングキャンペーンが、同社の収益報告に先立って見かけ上正当なメールを通じて始まったと警告しています。シュワルツ氏によると、この攻撃はRobinhoodのシステムから発信されたように見えるメールを含み、SPF、DKIM、DMARCなどの認証チェックを成功裏に通過するため、受信者には本物のように見えるとのことです。
「警告:Robinhoodからのように見える(実際には彼らのメールシステムからのものかもしれません)メールはフィッシングの試みです」と彼はX(旧Twitter)で投稿しました。
メールの内容と手口
シュワルツ氏が共有した詳細によると、メールには時間、デバイス、ケースIDを示すログインアラートが含まれ、「今すぐアクティビティを確認してください」という促しが添えられています。メッセージのレイアウトとブランディングは公式なコミュニケーションを模しているものの、埋め込まれたボタンはユーザーの認証情報を捕らえるために設計されたフィッシングシーケンスを開始するとのことです。
シュワルツ氏は、この異常な配信方法について、メールが「何らかの形でRobinhoodの実際のメールインフラに注入された」と考えており、この脆弱性を「非常に狡猾」と表現しました。標準的な認証チェックを通過する能力は、ユーザーがそのコミュニケーションを信頼する可能性を高めると彼は観察しています。
攻撃ベクターの分析
シュワルツ氏が言及したアブデル・サバ氏の洞察は、Gmailの「ドットトリック」を利用した可能性のある攻撃ベクターを示しています。サバ氏によると、攻撃者はそのようなバリエーションを使用してRobinhoodアカウントを作成し、悪意のあるHTMLコードを埋め込んだデバイス名を割り当てました。
サバ氏によれば、Robinhoodのシステムはこのフィールドをサニタイズせず、HTMLペイロードが[メールアドレス]から送信された公式メール内にレンダリングされることを許可しています。その結果、正当なように見えるが隠れた悪意のある要素を含む完全に認証されたメッセージが生成されます。
暗号通貨ユーザーへの影響
フィッシング攻撃は、最近の数日間にわたってウォレットプラットフォームで報告された複数のキャンペーンとともに、暗号通貨ユーザーに対して持続的なリスクを引き続きもたらしています。以前にcrypto.newsが報じたように、MetaMaskユーザーは、ブロックチェーンセキュリティ企業SlowMistによると、偽の二要素認証プロセスを促進するフィッシングキャンペーンの標的となりました。
偽造されたメールはMetaMaskのブランディングを使用し、ユーザーに即座の行動を促すカウントダウンタイマーを含んでいました。SlowMistは、「今すぐ2FAを有効にする」というプロンプトをクリックした被害者が、シードフレーズを要求する悪意のあるウェブサイトにリダイレクトされ、攻撃者がウォレットの資金に完全にアクセスできるようになると述べました。
同社は、このようなキャンペーンは、初期の精査を回避するために、スペルミスのあるドメインや異常な送信者アドレスなどの小さな不一致に依存することが多いと指摘しています。
