Robinhood bekräftade att bedrägliga mejl från [email protected] var ett försök till nätfiske. Företaget sa att angripare utnyttjade företagets kontoskapande men att de inte tog sig in i kundernas konton eller företagets system.
Det falska mejlet, med ämnesraden “Din senaste inloggning hos Robinhood”, bad mottagare att ta bort mejlet. Robinhoods supportkonto på X sa att kundernas saldo och personliga data inte blev påverkade.
Nätfiskemejl gick förbi Robinhoods autentisering
En Robinhood-kund som undersökte .eml-filen sa att mejlet klarade SPF-, DKIM- och DMARC-kontroller. Mejlet kom från Robinhoods egen infrastruktur.
Angriparna la in HTML i det riktiga mejlet. I mejlet fanns en knapp “Review Activity” som ledde användare till tinzio.net via googletagmanager.com.
David Schwartz, CTO emeritus på Ripple, uppmärksammade också nätfiskekampanjen. Han poängterade att mejlen verkar komma från Robinhoods egna mejlsystem.
“Jag är inte exakt säker på vad som händer, men det verkar (efter en snabb titt) som om dessa mejl på något sätt skickades via Robinhoods egna mejlinfrastruktur”, varnade han.
Robinhood (HOOD) handlades nära 84,71 USD på måndag morgon, en ökning med 1,40 % för dagen, men tappade upp till 0,3 % i förhandeln efter nätfiskeattacken på söndagskvällen.
Vad Robinhoods kunder bör göra
Robinhood Help rådde drabbade kunder att kontakta support via appen eller hemsidan och att inte klicka på några länkar.
Företaget rekommenderade alla som använt mejlet att byta lösenord, ändra tvåfaktorsautentisering (2FA) och kontrollera senaste enhetsaktivitet.
Mönstret visar att attacker kan lyckas även om autentiseringsstandarder blir godkända, medan mejlets innehåll är skadligt.
Robinhood har inte förklarat hur angriparna kom åt kontoskapandet. Företaget har inte heller sagt om andra kunder fått liknande mejl.
