A Robinhood online kereskedelmi platform fióklétrehozási folyamatának egy sérülékenységét kihasználva, a csalók rendszerüzenetnek álcázva küldtek ki adathalász e-maileket.

A Robinhood ügyfelei olyan hamis rendszerüzenetekről számoltak be, amelyek szerint egy ismeretlen eszköz próbált bejelentkezni egy szokatlan IP címről és telefonszámról. Az e-mail szerint bejelentkezési kísérletet észleltek egy, a fiókhoz korábban nem társított, ismeretlen eszközről és arra kérik a felhasználókat, hogy amennyiben nem ismerik fel a műveletet, tekintsék át a fióktevékenységeket. Ennek egyszerű elvégzéséhez egy „Tevékenységek áttekintése most” feliratú gomb került elhelyezésre az e-mailben, ami a – azóta már nem működő – robinhood[.]casevaultreview[.]com adathalász oldalra mutatott.

Az adathalász e-mailek célja feltehetően a Robinhood felhasználók hitelesítő adatainak megszerzése volt. Az e-maileket az tette meggyőzővé, hogy a Robinhood hivatalos noreply[@]robinhood.com e-mailcíméről küldték, így sikeresen átjutottak az SPF és DKIM e-mailbiztonsági ellenőrzéseken.

Az elkövetők a Robinhood regisztrációs folyamatának egy olyan hibáját használták ki, amely lehetővé tette, hogy tetszőleges HTML kódot illesszenek be a fiókmegerősítő e-mailekbe. A platformra történő regisztráció során, a felhasználók egy megerősítő e-mailt kapnak, amelyben szerepel a regisztráció időpontja és különböző eszközinformációk, például IP cím és helyadatok. Az adathalász üzeneteknél a támadók ezeket az „Eszköz” metaadatokat módosították, majd elhelyezték a beágyazott HTML kódokat. A célzott felhasználók e-mail címei feltehetően egy korábbi adatvédelmi incidens során kerültek az elkövetők birtokába. 2021 novemberében például a kiberbűnözők mintegy 7 millió ügyfél adataihoz fértek hozzá, amelyeket később különböző hackerfórumokon kínáltak eladásra.

A cég időközben javította a hibát azáltal, hogy eltávolította az „Eszköz” mezőt a regisztrációs e-mailekből.