Robinhood hat bestätigt, dass betrügerische E-Mails mit dem Absender [email protected] ein Phishing-Versuch waren. Das Unternehmen teilte mit, dass Angreifer den Prozess zur Kontoerstellung missbraucht haben, ohne dabei Kundenkonten oder Systeme des Unternehmens zu kompromittieren.
Die gefälschte Nachricht mit dem Betreff „Ihr letzter Login bei Robinhood” forderte Empfänger dazu auf, sie zu löschen. Kontostände und persönliche Daten der Kunden blieben unberührt, wie das Hilfe-Konto des Unternehmens auf X erklärte.
Phishing-E-Mail umgeht Robinhood-Authentifizierung
Ein Robinhood-Kunde, der die ursprüngliche .eml-Datei analysierte, sagte, dass die Nachricht die Prüfungen SPF, DKIM und DMARC bestand. Die E-Mail stammte von Robinhoods eigener Infrastruktur.
Angreifer haben HTML in den legitimen E-Mail-Text eingefügt. Dadurch wurde ein „Aktivität prüfen”-Button eingebettet, der über googletagmanager.com auf eine Domain namens tinzio.net weiterleitete.
David Schwartz, CTO emeritus bei Ripple, wies ebenfalls auf die Kampagne hin und hob hervor, dass die Nachrichten tatsächlich von Robinhoods E-Mail-System stammen könnten.
„Ich bin nicht sicher, was hier genau passiert, aber es sieht (zumindest auf den ersten Blick) so aus, als seien diese E-Mails irgendwann in Robinhoods tatsächliche E-Mail-Infrastruktur eingeschleust worden”, warnte er.
Robinhood (HOOD) wurde am Montagmorgen zu etwa 84,71 USD gehandelt, ein Anstieg um 1,4 % am Tag, verzeichnete aber trotz des Phishing-Vorfalls am Sonntagabend vorbörslich bis zu 0,3 % Verluste.
Was Robinhood-Kunden tun sollten
Robinhood Help riet betroffenen Kunden, den Support über die App oder Webseite zu kontaktieren und keine Links anzuklicken.
Das Unternehmen empfiehlt allen, die mit der E-Mail interagiert haben, das Passwort zu ändern, die Zwei-Faktor-Authentifizierung (2FA) zurückzusetzen und die letzten Geräteaktivitäten zu überprüfen.
Das Muster deutet auf Angriffe hin, bei denen Authentifizierungsstandards zwar bestehen, der eigentliche Inhalt der E-Mail aber schädlich ist.
Robinhood hat bisher nicht erklärt, wie die Angreifer Zugriff auf den Prozess zur Kontoerstellung erhielten. Es ist zudem unklar, ob weitere Kunden ähnliche Nachrichten erhalten haben.
