Robinhood ได้ยืนยันว่าอีเมลปลอมที่ถูกส่งจาก [email protected] เป็นความพยายามฟิชชิ่ง และบริษัทระบุว่าผู้โจมตีได้ใช้ช่องโหว่ในขั้นตอนการสร้างบัญชีโดยไม่ส่งผลกระทบกับบัญชีลูกค้าหรือระบบของบริษัทแต่อย่างใด
ข้อความปลอมนี้มีหัวข้อว่า การเข้าสู่ระบบล่าสุดของคุณใน Robinhood โดยแนะนำให้ผู้รับลบอีเมลนั้นออกทันที ทั้งยอดเงินในบัญชีและข้อมูลส่วนตัวของลูกค้าทุกคนยังคงปลอดภัยตามที่บัญชีช่วยเหลือของบริษัทแจ้งไว้ใน X
อีเมลฟิชชิ่งเลี่ยงการยืนยันตัวตนของ Robinhood
ลูกค้าของ Robinhood รายหนึ่งที่ได้วิเคราะห์ไฟล์ .eml ต้นฉบับ พบว่าข้อความดังกล่าวผ่านการตรวจสอบทั้ง SPF, DKIM และ DMARC โดยอีเมลดังกล่าวส่งมาจากโครงสร้างพื้นฐานของ Robinhood เอง
ผู้โจมตีแทรกโค้ด HTML ลงไปในเนื้อความอีเมลของแท้ โดยการแทรกนี้ฝังปุ่ม ตรวจสอบกิจกรรม ซึ่งเปลี่ยนเส้นทางไปยังโดเมน tinzio.net ผ่าน googletagmanager.com
David Schwartz, CTO emeritus ของ Ripple ก็ได้ แจ้งเตือนการรณรงค์นี้เช่นกัน โดยเน้นย้ำว่าข้อความเหล่านี้อาจถูกส่งออกมาจากระบบอีเมลของ Robinhood จริงๆ
เขาเตือนว่า ตนไม่แน่ใจว่าเกิดอะไรขึ้นแน่ แต่ดูเหมือนจากที่ตรวจสอบคร่าวๆ ว่าอีเมลเหล่านี้ถูกแทรกเข้าสู่โครงสร้างพื้นฐานอีเมลของ Robinhood ในช่วงใดช่วงหนึ่ง
Robinhood (HOOD) มีราคาซื้อขายใกล้เคียงกับ 84.71 USD ในเช้าวันจันทร์ โดยเพิ่มขึ้น 1.40% ในวันนั้น แต่ก็มีราคาก่อนเปิดตลาดลดลงได้ถึง 0.3% แม้จะมีเหตุการณ์ฟิชชิ่งในเย็นวันอาทิตย์
สิ่งที่ลูกค้า Robinhood ควรทำ
ฝ่ายช่วยเหลือของ Robinhood แนะนำให้ลูกค้าที่ได้รับผลกระทบติดต่อฝ่ายสนับสนุนผ่านแอปหรือเว็บไซต์ โดยไม่ควรกดลิงก์ใดๆ ในอีเมล
ทั้งนี้บริษัทนายหน้าแนะนำว่าทุกคนที่มีปฏิสัมพันธ์กับอีเมลควรเปลี่ยนรหัสผ่าน หมุนเวียนการยืนยันตัวตนแบบสองขั้นตอน (2FA) และตรวจสอบกิจกรรมของอุปกรณ์ล่าสุดด้วย
รูปแบบนี้แสดงให้เห็นว่าการโจมตีที่มาตรฐานการยืนยันผ่าน แม้ตัว payload ของอีเมลจะกลายเป็นอันตรายก็ตาม
Robinhood ยังไม่ได้เปิดเผยรายละเอียดเกี่ยวกับวิธีที่ผู้โจมตีสามารถเข้าถึงกระบวนการสร้างบัญชี และก็ยังไม่ได้กล่าวว่ามีลูกค้ารายอื่นๆ ได้รับข้อความในลักษณะเดียวกันหรือไม่
