- 攻撃者がRobinhoodのアカウント作成メールの脆弱性を悪用してフィッシングコンテンツを注入した
- [email protected]からの偽の警告が、被害者を認証情報窃取のランディングページにリダイレクトした
- この脆弱性は修正され、顧客アカウントやファンドは侵害されていない
サイバー犯罪者がRobinhoodを悪用してフィッシングメールを被害者のインボックスに成功させ、ログイン認証情報を盗もうとしていることが専門家によって警告されています。
Robinhoodは人気のある電子取引プラットフォームであり、ユーザーが暗号資産、ETF、先物を売買することができることで知られていますが、最近一部のユーザーが異常なログインアクティビティについて警告するメールを受け取り始めました。
これは標準的な慣行です。世界の反対側の異なるIPアドレスから誰かが突然アカウントにログインした場合、サービスは所有者に警告メールを送信します。しかし、これらのメッセージは偽りでした。
記事は以下に続きます
脆弱性の悪用
メールはRobinhoodの正当なメールアカウント[email protected]から発信されており、SPFおよびDKIMメールセキュリティチェックに合格しました。しかし、プラットフォームのログイン認証情報をキャプチャするように設計された悪意あるランディングページに受信者をリダイレクトしました。
どうやら、Robinhoodのアカウント作成プロセスには脆弱性がありました。ユーザーが新しいアカウントを作成すると、プラットフォームは登録時刻、IPアドレス、デバイス情報、およびおおよその位置などの詳細を含む確認メールを送信します。この脆弱性により、犯人はデバイスメタデータフィールドを変更して埋め込みHTMLを含めることができましたが、Robinhoodはサニタイズしませんでした。
実際のフィッシングメールコンテンツを含むそのHTMLは、アカウント作成メールの「Device:」フィールドに注入され、メールが警告メッセージのように見えるようにされました。
最後のステップは、メールリストを使用してメールを被害者に配信することです。BleepingComputerは、メールは以前の侵害、おそらく2021年11月のRobinhood侵害から取得された可能性が高いと考えています。
「日曜日の夜、一部の顧客が[email protected]から「Robinhoodへの最近のログイン」という件名の偽造メールを受け取りました」と同社はX上で警告しました。「このフィッシング試行はアカウント作成フローの悪用により可能になりました。これは当社のシステムまたはカスタマーアカウントの侵害ではなく、個人情報とファンドは影響を受けていません。」
その後、脆弱性は対処され、メールをキャプチャするために使用されたランディングページはオフラインになっています。
