O processo de criação de contas da plataforma de investimentos online Robinhood foi explorado por threat actors para inserir mensagens de phishing em e-mails legítimos, levando usuários a acreditar que suas contas exibiam atividade suspeita.
Desde a noite passada, clientes da Robinhood começaram a receber e-mails com o assunto “Your recent login to Robinhood”, informando que um “Unrecognized Device Linked to Your Account” havia sido detectado, com endereços IP incomuns e parte dos números de telefone.
“Detectamos uma tentativa de login a partir de um dispositivo não reconhecido”, dizia o e-mail de phishing.
“Se não foi você, revise imediatamente a atividade da sua conta para protegê-la.”
A mensagem incluía um botão chamado “Review Activity Now”, que levava a um site de phishing em robinhood[.]casevaultreview[.]com, que já saiu do ar.
No entanto, capturas de tela publicadas no Reddit indicam que o site provavelmente foi usado para tentar roubar credenciais da Robinhood.
O que tornou os e-mails convincentes é que eles partiam do endereço legítimo da Robinhood, [email protected], e passaram nas verificações de segurança de e-mail SPF e DKIM.
Os atacantes abusaram da Robinhood para gerar e-mails de phishing ao explorar uma falha no processo de integração da empresa, que permitia injetar HTML arbitrário nos e-mails de confirmação de conta.
Quando uma nova conta Robinhood é registrada, a empresa envia automaticamente um e-mail “Your recent login to Robinhood” para o endereço associado, contendo horário do cadastro, endereço IP, informações do dispositivo e localização aproximada.
Para inserir a mensagem de phishing, os threat actors alteraram os campos de metadados do dispositivo para incluir HTML incorporado, que a Robinhood não sanitizou corretamente.
Esse HTML foi então inserido no campo Device: do e-mail de criação da conta, fazendo com que ele fosse exibido como uma falsa mensagem de “Unrecognized Device Linked to Your Account”.
Para atingir clientes da Robinhood, os atacantes provavelmente usaram listas de endereços de e-mail de usuários obtidas em data breaches anteriores.
Em novembro de 2021, a Robinhood sofreu um data breach que impactou 7 milhões de clientes, com os dados sendo posteriormente oferecidos à venda em um fórum de hackers.
Os atacantes também exploraram o comportamento de aliasing com pontos do Gmail, no qual adicionar pontos a um endereço não altera o destino da mensagem.
Isso permitiu registrar contas usando variações de endereços reais, mas ainda assim entregar as mensagens aos destinatários pretendidos.
Como resultado, os destinatários receberam o que parecia ser um alerta padrão de login, mas com uma seção de phishing incorporada, alertando sobre “atividade não reconhecida” e incentivando a revisão imediata da conta.
A Robinhood confirmou o incidente em uma nota publicada no X.
“Na noite de domingo, alguns clientes receberam um e-mail falsificado de [email protected] com o assunto ‘Your recent login to Robinhood.’”, publicou a Robinhood.
“Essa tentativa de phishing foi possível por abuso do fluxo de criação de contas.
Não houve breach de nossos sistemas nem de contas de clientes, e informações pessoais e fundos não foram afetados.”
A Robinhood corrigiu a falha ao remover dos e-mails de criação de conta o campo Device, que vinha sendo explorado.
A Robinhood orienta os usuários que receberam a mensagem a apagá-la e evitar clicar em qualquer link.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...