Robinhood bekreftet at falske e-poster sendt fra [email protected] var et phishing-forsøk. Selskapet opplyste at angripere utnyttet selskapets kontoopprettelsesflyt uten å kompromittere kundekontoer eller selskapets systemer.
Den forfalskede meldingen, med emnet “Din nylige innlogging hos Robinhood”, ba mottakerne om å slette e-posten. Kundesaldo og persondata forble uberørt, ifølge selskapets hjelpe-konto på X.
Phishing-epost omgår Robinhood autentisering
En Robinhood-kunde som analyserte den rå .eml-filen, sa at meldingen besto SPF-, DKIM- og DMARC-kontroller. E-posten stammet fra Robinhoods egen infrastruktur.
Angriperne injiserte HTML i det legitime e-postinnholdet. Innstikket inneholdt en “Gjennomgå aktivitet”-knapp som omdirigerte til et domene kalt tinzio.net via googletagmanager.com.
David Schwartz, CTO emeritus i Ripple, varslet også om kampanjen, og påpekte at meldingene faktisk kan komme fra Robinhoods e-postsystem.
“Jeg er ikke helt sikker på hva som skjer, men det virker (i alle fall ved første øyekast) som om disse e-postene på en eller annen måte ble injisert i Robinhoods faktiske e-postinfrastruktur på et tidspunkt,” advarte han.
Robinhood (HOOD) ble omsatt nær $ 84,71 mandag morgen, opp 1,40 % for dagen, men noterte tap i førbørshandelen på opptil 0,3 % til tross for phishing-hendelsen søndag kveld.
Hva Robinhood-kunder bør gjøre
Robinhood Help anbefalte berørte kunder å kontakte kundeservice via appen eller nettsiden istedenfor å klikke på noen lenker.
Meglerhuset oppfordret alle som har interagert med e-posten til å endre passord, rotere tofaktorautentisering (2FA), samt gjennomgå siste enhetsaktivitet.
Mønsteret peker på angrep der autentiseringsstandarder passerer, selv om selve e-postinnholdet er ondsinnet.
Robinhood har ikke forklart hvordan angriperne fikk tilgang til kontoopprettelsesflyten. Selskapet har heller ikke uttalt om andre kunder mottok lignende meldinger.
