Robinhoodのアカウント作成フロー悪用によるフィッシングメール送信

オンライン取引プラットフォームRobinhoodのアカウント作成プロセスが脅威アクターに悪用され、正規メールにフィッシングメッセージが注入され、ユーザーのアカウントに不審なアクティビティがあると信じ込まされました。

昨夜から、Robinhoodの顧客は「Your recent login to Robinhood」というメールを受け取り始め、アカウントにリンクされた「認識されないデバイス」が検出されたと記載され、異常なIPアドレスと部分的な電話番号が含まれていました。

「認識されていないデバイスからのログイン試行を検出しました」とフィッシングメールに記載されています。「それがあなたでない場合は、アカウントを保護するため、すぐにアカウントアクティビティを確認してください。」

メールに含まれていたのは「Review Activity Now」というタイトルのボタンで、robinhood[.]casevaultreview[.]com のフィッシングサイトにリンクされており、現在はダウンしています。

しかし、Reddit上のスクリーンショットは、そのサイトがRobinhoodの認証情報を盗もうとするために使用された可能性があることを示しています。

メールが説得力がある理由は、正規のRobinhoodメールアドレス [email protected] から来たもので、SPFおよびDKIMメールセキュリティチェックに合格したことです。

Robinhoodのアカウント作成オンボーディング欠陥の悪用

攻撃者はRobinhoodを悪用してフィッシングメールを生成しました。同社のオンボーディングプロセスの欠陥を悪用して、アカウント確認メールに任意のHTMLを注入できるようにしました。

BleepingComputerは、新しいRobinhoodアカウントが登録されると、同社は「Your recent login to Robinhood」というメールを関連するアドレスに自動的に送信し、登録時刻、IPアドレス、デバイス情報、およびおおよその場所が含まれていることを確認しました。

フィッシングメッセージを注入するために、脅威アクターはデバイスメタデータフィールドを変更して埋め込みHTMLを含めましたが、Robinhoodはこれを適切にサニタイズしていませんでした。

このHTMLはその後、アカウント作成メールの「Device:」フィールドに注入され、偽の「アカウントにリンクされた認識されないデバイス」メッセージとしてレンダリングされました。

Robinhoodの顧客をターゲットにするために、攻撃者は以前のデータ漏洩から既知の顧客メールアドレスのリストを使用した可能性があります。2021年11月、Robinhoodは700万人の顧客に影響を与えるデータ漏洩を受け、データは後にハッキングフォーラムで販売されました。

攻撃者はGmailのドット別名化動作も使用しました。アドレスにピリオドを追加してもその宛先は変わらないため、実際のメールアドレスのバリエーションを使用してアカウントを登録しながら、メッセージを意図した受信者に配信することができました。

その結果、受信者は標準的なログインアラートに見えるものを受け取りましたが、「認識されないアクティビティ」の警告を含む埋め込まれたフィッシングセクションがあり、アカウントを確認するよう促されました。

Robinhoodは、Xに投稿されたステートメントで、この事件を確認しました。

「日曜日の夜、一部の顧客は[email protected]から「Your recent login to Robinhood」というサブジェクトラインで偽造メールを受け取りました」とRobinHoodが投稿しました。

「このフィッシング試行はアカウント作成フローの悪用によって可能になりました。これは当社のシステムまたは顧客アカウントの漏洩ではなく、個人情報と資金は影響を受けていません。」

BleepingComputerは、Robinhoodがこの欠陥を修正し、以前悪用されていた「Device:」フィールドをアカウント作成メールから削除したことを確認しました。

Robinhoodは、メッセージを受け取ったユーザーにそれを削除し、リンクをクリックしないようにアドバイスしています。