การเตือนภัยเกี่ยวกับการโจมตีฟิชชิ่งที่มุ่งเป้าไปที่ผู้ใช้ Robinhood
David Schwartz อดีต CTO ของ Ripple ได้ออกมาเตือนเกี่ยวกับการรณรงค์ฟิชชิ่งที่มุ่งเป้าไปที่ผู้ใช้ Robinhood โดยใช้การส่งอีเมลที่ดูเหมือนจะถูกต้องตามกฎหมาย ก่อนที่จะมีการรายงานผลประกอบการของบริษัท
ตามที่ Schwartz กล่าว การโจมตีนี้เกี่ยวข้องกับอีเมลที่ดูเหมือนจะมาจากระบบของ Robinhood เอง โดยมีการตรวจสอบการรับรองเช่น SPF, DKIM และ DMARC ผ่านการตรวจสอบอย่างสำเร็จ ทำให้ข้อความดูเหมือนจริงสำหรับผู้รับ
“คำเตือน: อีเมลใด ๆ ที่คุณได้รับซึ่งดูเหมือนจะมาจาก Robinhood (และอาจมาจากระบบอีเมลของพวกเขาจริง ๆ) เป็นความพยายามฟิชชิ่ง” เขาเขียนในโพสต์บน X
รายละเอียดที่แชร์โดย Schwartz แสดงให้เห็นว่าอีเมลเหล่านี้รวมถึงการแจ้งเตือนการเข้าสู่ระบบที่ระบุเวลา อุปกรณ์ และหมายเลขเคส พร้อมกับการกระตุ้นให้ผู้ใช้ “ตรวจสอบกิจกรรมตอนนี้” รูปแบบข้อความและแบรนด์สะท้อนการสื่อสารอย่างเป็นทางการ แต่ปุ่มที่ฝังอยู่ reportedly เริ่มต้นลำดับฟิชชิ่งที่ออกแบบมาเพื่อจับข้อมูลประจำตัวของผู้ใช้
Schwartz กล่าวว่าเขาเชื่อว่าอีเมลเหล่านี้ “ถูกฉีดเข้าไปในโครงสร้างพื้นฐานอีเมลจริงของ Robinhood” และต่อมาได้อธิบายการโจมตีนี้ว่า “ค่อนข้างเจ้าเล่ห์” ความสามารถในการผ่านการตรวจสอบการรับรองมาตรฐานเพิ่มความน่าจะเป็นที่ผู้ใช้จะเชื่อถือการสื่อสาร
ตามการสังเกตของเขา ข้อมูลเชิงลึกที่อ้างถึงโดย Schwartz จาก Abdel Sabbah ระบุถึงเวกเตอร์การโจมตีที่เป็นไปได้ซึ่งเกี่ยวข้องกับ “dot trick” ของ Gmail ซึ่งอนุญาตให้มีหลายรูปแบบของที่อยู่อีเมลเดียวกัน
Sabbah กล่าวว่า ผู้โจมตีสร้างบัญชี Robinhood โดยใช้รูปแบบดังกล่าวและกำหนดชื่ออุปกรณ์ที่ฝังด้วยโค้ด HTML ที่เป็นอันตราย ระบบของ Robinhood ตามที่ Sabbah กล่าว ไม่ได้ทำความสะอาดฟิลด์นี้ ทำให้โหลด HTML สามารถแสดงผลภายในอีเมลอย่างเป็นทางการที่ส่งจาก [email protected] ผลลัพธ์คือข้อความที่ได้รับการรับรองอย่างเต็มที่ซึ่งดูเหมือนถูกต้องตามกฎหมาย แต่มีองค์ประกอบที่เป็นอันตรายซ่อนอยู่
ความเสี่ยงจากการโจมตีฟิชชิ่งในโลก cryptocurrency
การโจมตีฟิชชิ่งยังคงเป็นความเสี่ยงที่ต่อเนื่องสำหรับผู้ใช้ cryptocurrency โดยมีการรายงานหลายแคมเปญในแพลตฟอร์มกระเป๋าเงินในช่วงไม่กี่วันที่ผ่านมา
ตามที่รายงานโดย crypto.news ผู้ใช้ MetaMask ถูกโจมตีโดยแคมเปญฟิชชิ่งที่ส่งเสริมกระบวนการยืนยันตัวตนสองขั้นตอนปลอม
ตามที่บริษัทความปลอดภัยบล็อกเชน SlowMist อีเมลที่ปลอมแปลงใช้แบรนด์ MetaMask และรวมถึงตัวจับเวลานับถอยหลังที่ออกแบบมาเพื่อกดดันผู้ใช้ให้ดำเนินการทันที
SlowMist กล่าวว่าเหยื่อที่คลิกที่การกระตุ้น “เปิดใช้งาน 2FA ตอนนี้” ถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นอันตรายซึ่งขอให้พวกเขาให้ seed phrase ทำให้ผู้โจมตีเข้าถึงเงินในกระเป๋าได้อย่างเต็มที่
บริษัทได้ชี้ให้เห็นว่าแคมเปญดังกล่าวมักอาศัยความไม่สอดคล้องเล็กน้อย รวมถึงโดเมนที่สะกดผิดและที่อยู่ผู้ส่งที่ไม่ปกติ เพื่อหลีกเลี่ยงการตรวจสอบเบื้องต้น.
