Khách hàng Robinhood đã nhận được một số Email giả mạo đặc biệt thuyết phục vào cuối tuần này. Các tin nhắn, có vẻ như đến trực tiếp từ công ty, có tiêu đề đã được xác thực, được ký đúng cách, bao gồm địa chỉ người gửi thật, được gửi từ máy chủ Email xác thực và không bị lọc bởi bộ lọc thư rác.
Tệ hơn nữa, Email từ [email protected] thậm chí còn được Gmail tự động đưa vào cùng luồng hội thoại với các cảnh báo bảo mật hợp lệ trước đó từ Robinhood.
Điều gian lận duy nhất về Email là những bất thường kỹ thuật khó nhận thấy và nội dung của nó — một lời kêu gọi hành động giả mạo nhằm thu thập thông tin đăng nhập.
Vào tối Chủ nhật, tin tặc đã sử dụng chính hệ thống thông báo của Robinhood để thực hiện cuộc tấn công.
Phân tích về vụ khai thác này nhanh chóng lan truyền trên mạng xã hội sau đó.
Email giả mạo Robinhood 'khá đẹp theo kiểu ghê rợn'
Nhà nghiên cứu bảo mật Abdel Sabbah đã đăng phân tích về sự kiện này, gọi nó là "khá đẹp" với hàm ý đáng sợ. Thật không may, ông ấy đã đúng.
Để thực hiện cuộc tấn công, tin tặc đã sử dụng "thủ thuật dấu chấm" của Gmail — một tính năng nổi tiếng của Google mà theo đó Gmail định tuyến [email protected], [email protected] và [email protected] đến cùng một hộp thư đến.
Gmail, không giống phần còn lại của internet, bỏ qua các dấu chấm trong phần địa chỉ trước ký hiệu @, do đó tất cả các biến thể đó đều được gửi đến cùng một hộp thư đến.
Vì Robinhood, không giống Gmail, không chuẩn hóa các biến thể có dấu chấm, kẻ tấn công đã sử dụng phiên bản Email khách hàng hợp lệ của Robinhood được chỉnh sửa bằng "dấu chấm".
Tiếp theo, kẻ tấn công đặt tên thiết bị trên tài khoản mới thành một đoạn HTML thô. Khi Email "hoạt động thiết bị lạ" của Robinhood được tạo ra, mẫu Email chèn tên thiết bị đó mà không lọc nó, khiến đoạn HTML độc hại được hiển thị.
Kết quả, theo lời Sabbah, là những gì có vẻ là "một Email thật từ [email protected], DKIM pass, SPF pass, DMARC pass, với một CTA giả mạo."
CTA hay "lời kêu gọi hành động" đó, tất nhiên, là một Email cảnh báo bảo mật giả với siêu liên kết đến trang web do kẻ tấn công kiểm soát nhằm thu thập thông tin đăng nhập và mã xác thực hai yếu tố.
Mục tiêu cuối cùng, giống như hầu hết các chiến dịch giả mạo, là đánh cắp tiền của khách hàng — trong trường hợp này, từ tài khoản Robinhood của họ.
Đọc thêm: Robinhood trả 605 triệu USD để mua lại cổ phần của Sam Bankman-Fried
Hãy suy nghĩ trước khi nhấp vào bất kỳ Email nào
Nhiều người có ảnh hưởng trong lĩnh vực tiền mã hoá đã cảnh báo mọi người về các Email thuyết phục này.
David Schwartz của Ripple đã khuếch đại cảnh báo. "Bất kỳ Email nào bạn nhận được có vẻ đến từ Robinhood (và thực sự có thể đến từ hệ thống Email của họ) đều là các nỗ lực giả mạo," ông đăng. Trích dẫn chủ đề của Sabbah, Schwartz bổ sung: "Nó khá xảo quyệt."
Vào tháng 4 năm 2025, Nhà phát triển chính của Ethereum Name Service Nick Johnson đã ghi lại một vụ khai thác gần như giống hệt liên quan đến các Email có vẻ được gửi từ chính Google.
Kẻ tấn công đã sử dụng một loạt thủ thuật tương tự để dùng cơ sở hạ tầng của Google nhằm gửi các Email giả mạo có chữ ký DKIM từ [email protected].
Bài học khi đó cũng chính là bài học bây giờ: hãy cẩn thận khi nhấp vào bất kỳ liên kết nào trong bất kỳ Email nào, bất kể nó có vẻ xác thực đến mức nào.
Lời khuyên chống giả mạo truyền thống yêu cầu người dùng kiểm tra tên miền người gửi và tìm kiếm các lỗi xác thực. Không có điều nào trong số đó giúp ích ở đây. Tên miền có vẻ thật. Chữ ký có vẻ thật. Chỉ có mục đích là tội phạm.
Hướng dẫn chống lừa đảo của chính Robinhood yêu cầu khách hàng xác minh tên miền Email của người gửi và liệt kê @robinhood.com là ví dụ xác thực.
Protos đã liên hệ với Robinhood để bình luận nhưng không nhận được phản hồi trước thời điểm xuất bản. Trong giao dịch Nasdaq hôm nay, cổ phiếu phổ thông của Robinhood mở cửa giao dịch ổn định so với mức đóng cửa ngày thứ Sáu.
Có thông tin? Hãy gửi Email cho chúng tôi một cách bảo mật qua Protos Leaks. Để có tin tức đầy đủ hơn, hãy theo dõi chúng tôi trên X, Bluesky và Google News, hoặc đăng ký kênh YouTube của chúng tôi.
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
