Как атаката превръща легитимни имейли в оръжие за фишинг

Онлайн платформата за търговия Robinhood стана обект на необичаен фишинг сценарий, при който атакуващи са успели да злоупотребят с процеса за създаване на акаунти, за да инжектират фалшиви съобщения в реални имейли, изпращани от компанията.

В резултат потребители получават имейли, които изглеждат автентични, тъй като идват от адрес noreply@robinhood.com и преминават стандартни проверки като SPF и DKIM, но съдържат фалшиви предупреждения за „неразпознато устройство“.

Как изглежда фишинг съобщението

Фалшивите имейли носят заглавие „Your recent login to Robinhood“ и съдържат твърдения за подозрителна активност, включително:

• неразпознати IP адреси
• частично показани телефонни номера
• предупреждения за „непознато устройство“

Имейлът приканва потребителя да натисне бутон „Review Activity Now“, който води към фишинг сайт, имитиращ легитимна платформа.

Техническият механизъм на атаката

Ключовият проблем се оказва в процеса по създаване на акаунт, където атакуващите са успели да вмъкнат HTML код в полета за метаданни на устройството.

Основният механизъм включва:

• злоупотреба с полето „Device“ в onboarding имейлите
• липса на правилна филтрация и sanitization на входните данни
• инжектиране на HTML съдържание директно в имейл шаблона
• визуално подменяне на съдържанието на легитимен имейл

Така реалният имейл се „превръща“ в носител на фишинг съдържание, без да се компрометира самата пощенска инфраструктура.

Как атакуващите достигат до жертвите

Според анализа, извършителите вероятно са използвали:

• изтекли бази данни с имейл адреси от предишни пробиви
• включително утечка от 2021 г., засягаща около 7 милиона потребители
• техники за „dot aliasing“ в Gmail, позволяващи вариации на реални адреси

Това им дава възможност да генерират акаунти, които активират изпращането на фалшиви уведомления към реални потребители.

Защо атаката е толкова ефективна

Особено опасен аспект е, че имейлите:

• идват от легитимен домейн
• преминават стандартни проверки за автентичност
• съдържат реалистична информация за устройства и IP адреси

Това създава висока степен на доверие у получателите и увеличава вероятността за взаимодействие с фишинг линковете.

Потвърждение от Robinhood и реакция на инцидента

Компанията потвърди инцидента и заяви, че става дума за злоупотреба с процеса по създаване на акаунти, а не за директен пробив в системите или компрометиране на потребителски данни.

Според официалната позиция:

• няма засегнати средства или акаунти
• инцидентът не представлява breach на инфраструктурата
• проблемът е свързан с уязвимост в email логиката

Компанията вече е премахнала компрометираното поле от имейл шаблоните.

Какво означава този случай за сигурността на имейл комуникациите

Този инцидент показва, че дори при наличие на валидни криптографски защити като SPF и DKIM, логическите уязвимости в бизнес процесите могат да заобиколят класическите защити.

Фишингът тук не се базира на фалшив домейн, а на:

• злоупотреба с доверен канал
• инжектиране в легитимна комуникация
• социално инженерство на ниво интерфейс

Препоръки към потребителите

Експертите съветват:

• да не се кликва върху линкове в подобни имейли
• да се проверява акаунтът директно през официалното приложение или сайт
• да се игнорират съобщения за „неразпознато устройство“, ако идват чрез email линк
• да се активира multi-factor authentication