Cảnh Báo Về Chiến Dịch Lừa Đảo Nhắm Đến Người Dùng Robinhood
David Schwartz, cựu CTO của Ripple, đã đưa ra cảnh báo về một chiến dịch lừa đảo nhắm vào người dùng Robinhood thông qua những email có vẻ hợp pháp, diễn ra trước thời điểm công bố báo cáo thu nhập của công ty. Theo Schwartz, cuộc tấn công này liên quan đến các email giả mạo có vẻ như được gửi từ hệ thống của Robinhood, với các kiểm tra xác thực như SPF, DKIM và DMARC đều thành công, khiến cho những tin nhắn này trông có vẻ chân thực đối với người nhận.
Ông viết trên mạng xã hội X: “CẢNH BÁO: Bất kỳ email nào bạn nhận được có vẻ như từ Robinhood (và có thể thực sự từ hệ thống email của họ) đều là những nỗ lực lừa đảo.”
Chi Tiết Về Cuộc Tấn Công
Các chi tiết mà Schwartz chia sẻ cho thấy những email này bao gồm thông báo đăng nhập với thời gian, thiết bị và một ID trường hợp, cùng với lời nhắc thúc giục người dùng “Xem Hoạt Động Ngay.” Bố cục tin nhắn và thương hiệu giống như thông tin liên lạc chính thức, nhưng nút nhúng trong email được cho là khởi động một chuỗi lừa đảo nhằm thu thập thông tin đăng nhập của người dùng.
Giải thích về phương thức gửi không bình thường, Schwartz cho biết ông tin rằng các email này đã “bằng cách nào đó được tiêm vào cơ sở hạ tầng email thực tế của Robinhood,” và mô tả lỗ hổng này là “khá tinh vi.” Khả năng vượt qua các kiểm tra xác thực tiêu chuẩn làm tăng khả năng người dùng tin tưởng vào thông tin liên lạc, theo quan sát của ông.
Vector Tấn Công và Các Chiến Dịch Lừa Đảo Khác
Thông tin mà Schwartz tham khảo từ Abdel Sabbah phác thảo một vector tấn công có thể liên quan đến “mẹo chấm” của Gmail, cho phép nhiều biến thể của cùng một địa chỉ email. Sabbah cho biết các kẻ tấn công đã tạo ra một tài khoản Robinhood sử dụng những biến thể như vậy và gán một tên thiết bị nhúng mã HTML độc hại. Hệ thống của Robinhood, theo Sabbah, không làm sạch trường này, cho phép tải trọng HTML hiển thị bên trong các email chính thức được gửi từ email@example.com. Kết quả là một tin nhắn hoàn toàn được xác thực trông có vẻ hợp pháp nhưng chứa các yếu tố độc hại ẩn.
Các cuộc tấn công lừa đảo vẫn tiếp tục là một rủi ro thường trực đối với người dùng tiền điện tử, với nhiều chiến dịch được báo cáo trên các nền tảng ví trong những ngày gần đây. Như đã được báo cáo trước đó bởi crypto.news, người dùng MetaMask đã bị nhắm đến bởi một chiến dịch lừa đảo quảng bá một quy trình xác thực hai yếu tố giả mạo, theo công ty bảo mật blockchain SlowMist.
Các email giả mạo đã sử dụng thương hiệu MetaMask và bao gồm một bộ đếm ngược được thiết kế để gây áp lực lên người dùng thực hiện hành động ngay lập tức. SlowMist cho biết các nạn nhân đã nhấp vào lời nhắc “Kích hoạt 2FA Ngay” đã được chuyển hướng đến một trang web độc hại yêu cầu cụm từ hạt giống của họ, cho phép kẻ tấn công truy cập đầy đủ vào quỹ ví. Công ty lưu ý rằng các chiến dịch như vậy thường dựa vào những bất thường nhỏ, bao gồm tên miền viết sai và địa chỉ người gửi không bình thường, để vượt qua sự kiểm tra ban đầu.
