Proses pembuatan akun platform perdagangan online Robinhood dieksploitasi oleh pelaku ancaman untuk memasukkan pesan phishing ke email yang sah, menipu pengguna agar percaya bahwa akun mereka memiliki aktivitas yang mencurigakan.
Mulai tadi malam, pelanggan Robinhood mulai menerima email “Login terbaru Anda ke Robinhood” yang menyatakan bahwa “Perangkat Tidak Dikenal Tertaut ke Akun Anda” terdeteksi, berisi alamat IP yang tidak biasa dan sebagian nomor telepon.
“Kami mendeteksi upaya login dari perangkat yang tidak dikenali,” demikian bunyi email phishing tersebut. “Jika ini bukan Anda, harap segera tinjau aktivitas akun Anda untuk mengamankan akun Anda.”
Termasuk dalam email tersebut adalah tombol berjudul “Tinjau Aktivitas Sekarang”, yang mengarah ke situs phishing di robinhood[.]ulasan casevault[.]com, yang sekarang sedang down.
Namun, tangkapan layar di Reddit menunjukkan bahwa situs tersebut kemungkinan besar digunakan untuk mencoba mencuri kredensial Robinhood.
Apa yang membuat email tersebut meyakinkan adalah bahwa email tersebut berasal dari alamat email Robinhood yang sah noreply@robinhood.com Dan lulus pemeriksaan keamanan email SPF dan DKIMS.
Memanfaatkan kelemahan orientasi pembuatan akun Robinhood
Penyerang menyalahgunakan Robinhood untuk menghasilkan email phishing dengan mengeksploitasi kelemahan dalam proses orientasi perusahaan yang memungkinkan mereka memasukkan HTML sewenang-wenang ke dalam email konfirmasi akunnya.
BleepingComputer mengonfirmasi bahwa ketika akun Robinhood baru didaftarkan, perusahaan secara otomatis mengirimkan “Login terbaru Anda ke Robinhood” email ke alamat terkait, berisi waktu pendaftaran, alamat IP, informasi perangkat, dan perkiraan lokasi.
Untuk memasukkan pesan phishing, pelaku ancaman memodifikasi bidang metadata perangkat mereka untuk menyertakan HTML tertanam, yang tidak dibersihkan dengan benar oleh Robinhood.
HTML ini kemudian dimasukkan ke dalam bidang Perangkat: pada email pembuatan akun, menyebabkannya ditampilkan sebagai pesan palsu “Perangkat Tidak Dikenal Tertaut ke Akun Anda”.
Untuk menargetkan pelanggan Robinhood, penyerang kemungkinan besar menggunakan daftar alamat email pelanggan yang diketahui dari pelanggaran data sebelumnya. Pada bulan November 2021, Robinhood mengalami pelanggaran data berdampak pada 7 juta pelanggan, dengan datanya nanti ditawarkan untuk dijual di forum peretasan.
Para penyerang juga menggunakan perilaku aliasing titik Gmail, di mana menambahkan titik ke alamat tidak mengubah tujuannya, sehingga memungkinkan mereka untuk mendaftarkan akun menggunakan variasi alamat email asli sambil tetap mengirimkan pesan ke penerima yang dituju.
Akibatnya, penerima menerima apa yang tampak seperti peringatan login standar, namun dengan bagian phishing yang tertanam yang memperingatkan “aktivitas tidak dikenal” dan mendesak mereka untuk meninjau akun mereka.
Robinhood mengkonfirmasi kejadian tersebut dalam sebuah pernyataan yang diposting ke X.
“Pada Minggu malam, beberapa pelanggan menerima email palsu dari noreply@robinhood.com dengan baris subjek ‘Login terbaru Anda ke Robinhood.’,” diposting RobinHood.
“Upaya phishing ini dimungkinkan oleh penyalahgunaan alur pembuatan akun. Itu bukan pelanggaran terhadap sistem atau akun pelanggan kami, dan informasi pribadi serta dana tidak terpengaruh.”
BleepingComputer telah mengonfirmasi bahwa Robinhood telah memperbaiki kelemahan ini dengan menghapus bidang Perangkat: yang sebelumnya disalahgunakan dari email pembuatan akun mereka.
Robinhood menyarankan pengguna yang menerima pesan tersebut untuk menghapusnya dan menghindari mengklik tautan apa pun.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
