Щодо цілеспрямованої фішингової атаки Робін Гуда… домени та аутентифікація пройдені.

За повідомленнями, користувачі Robinhood у вихідні дні масово отримували виглядаючі як від компанії «фішингові» листи. Відправницькі адреси цих листів дійсно використовували домен @robinhood.com, їхні заголовки автентифікації та цифрові підписи (DKIM) оброблялися належним чином, що дозволяло обійти фільтри спаму.

Зокрема, частина листів, надісланих з [email protected], у Gmail навіть автоматично об’єднувалися з раніше отриманими звичайними безпечними попередженнями Robinhood у один «ланцюг діалогу». Майже не було очевидних ознак зовнішніх аномалій, але головна проблема у тому, що «контент», який спонукає користувача вводити логін і пароль, — це сама шахрайська дія.

«Трюк з крапкою» та ін’єкція HTML… зловживання каналами повідомлень Robinhood

Безпековий дослідник Abdel Sabbah у аналізі цієї атаки з деякою похмурістю оцінив її як «досить гарну (kinda beautiful)». Зловмисники спершу використали особливість Gmail ігнорувати крапки (.) у частині адреси перед @ (так званий «dot trick»), що дозволяло створювати варіанти адрес [email protected] і [email protected], які потрапляли до одного й того ж поштового ящика.

Проблема у тому, що Robinhood не виконує таку нормалізацію крапок, як Gmail. Зловмисники створили акаунти з крапками, вставили у поле імені пристрою (device name) початковий HTML-код і спровокували шаблон повідомлення про «непізнану активність» Robinhood, який без очищення (sanitize) вставляв цей код безпосередньо. Це призвело до ситуації, коли створювався «фішинговий» лист, що проходив усі перевірки — «DKIM пройшов, SPF пройшов, DMARC пройшов» — і здавалося, що він «нормально відправлений».

Мета — захоплення акаунтів… навіть 2FA-кодів

У листі містився заклик до дії (CTA) у вигляді фальшивого попередження безпеки з посиланням на сайт, контрольований зловмисниками. Це класична тактика: користувач натискає на посилання і вводить свої дані, і разом із паролем зловмисники отримують і 2FA-код, і логін, і пароль, отримуючи доступ до акаунту.

Як і у інших фішингових атаках, кінцева мета — отримати доступ до «фінансів користувача». Основною ціллю вважаються акаунти Robinhood. Цей випадок показує, що навіть при нормальних показниках (домен, підпис автентифікації, сервер відправки) все одно можлива шахрайська активність, і це має насторожити інвесторів у криптовалюти та звичайних інвесторів.

«Зупиніться і перевірте посилання у листі»… важливість перевірки

Аналіз інциденту швидко поширився у соцмережах, і багато лідерів думок у криптовалютній сфері наголосили: «Будьте обережні з натисканням». Технічний директор Ripple David Schwartz попередив: «Навіть листи, що здаються від Robinhood (навіть якщо вони надійшли через справжню поштову систему), можуть бути фішинговими, і їхній спосіб дуже хитрий».

Подібні випадки траплялися й раніше. У квітні 2025 року головний розробник Ethereum Name Service (ENS) Nick Johnson повідомив, що зловмисники зловживають інфраструктурою Google, надсилаючи фішингові листи, які здавалися від [email protected] і мали підпис DKIM. Цей випадок із Robinhood передає схожу ідею: не можна судити про безпеку лише за доменом відправника та підписом — потрібно звикнути не натискати посилання у листах, а входити через додаток або офіційний сайт для підтвердження повідомлень.

Короткий виклад статті від TokenPost.ai

🔎 Аналіз ринку — цей випадок підтверджує, що фішинг через «нормальний домен(@robinhood.com)·належна автентифікація(DKIM/SPF/DMARC)» знову демонструє, що довіряти лише технічним показникам листа небезпечно — головна ціль — отримання доступу до фінансів через акаунти торгівлі/гаманців/брокерів, і ризик однаковий для інвесторів у акції та криптовалюту — UI-елементи, як «об’єднання листів у потік (діалог)», можуть бути зловживані для підвищення довіри і клікабельності, що підкреслює важливість перевірки шаблонів платформи/служби пошти та валідації введених даних (Sanitize). 💡 Стратегічні рекомендації — не натискати посилання у листах, а відкривати додатки або офіційні сайти для підтвердження повідомлень і безпеки (звикнути зберігати закладки або вводити вручну) — при отриманні попереджень «непізнана активність/вхід» негайно змінити пароль, вийти з усіх сесій, скинути 2FA (застосовуючи, наприклад, автентифікатори або ключі), перевірити адреси виведення коштів і підключені пристрої — навіть якщо лист здається «нормальним», потрібно оцінити, чи не є операція підозрілою: запити на логін, 2FA, наголоси на терміновість, зовнішні домени — ознаки високого ризику — на рівні сервісу: запобігати HTML-ін’єкціям у полях введення (екранування/очищення), перевіряти вставки даних користувача у шаблони листів, розглянути нормалізацію крапкових варіантів Gmail або запобігання дублюванню акаунтів. 📘 Терміни — фішинг(Phishing): шахрайство, що маскується під довірену організацію або сервіс для крадіжки облікових даних і кодів автентифікації. — DKIM/SPF/DMARC: системи перевірки, чи лист надійшов із авторизованого сервера домену (але їхній успіх не гарантує безпеку вмісту). — Dot trick (крапковий трюк): використання ігнорування Gmail крапок у ідентифікаторах для створення варіантів адрес, що потрапляють до одного й того ж ящика. — HTML-ін’єкція: вставка HTML або скриптів у поля введення для рендерингу шкідливого контенту. — 2FA (двофакторна автентифікація): додатковий захист, що вимагає введення коду або використання додатка/ключа, але може бути зламаний через фішинг.

💡 Часті питання (FAQ)

Q. Якщо лист пройшов перевірку DKIM/SPF/DMARC, чи означає це, що він справжній? Ні. Ці системи лише підтверджують, що лист надійшов із сервера, авторизованого для цього домену, але не гарантують безпеку вмісту (посилань, інструкцій). Як у цьому випадку, якщо у шаблоні повідомлення з’явиться зловмисний контент, він пройде автентифікацію. Q. Як найкраще перевірити підозрілий лист? Не натискати посилання, а входити через офіційний додаток Robinhood або сайт, використовуючи закладки або вручну вводячи адресу. За потреби — звернутися до офіційних каналів підтримки і повідомити про підозрілий лист. Q. Що робити, якщо я натиснув посилання і ввів логін, пароль і 2FA? Негайно виконайте: (1) змінити пароль, (2) вийти з усіх пристроїв і сесій, (3) скинути 2FA (застосовуючи автентифікатори або ключі), (4) перевірити виведення коштів і підключені пристрої, (5) повідомити службу підтримки про інцидент.

Застереження AI Цей аналіз створено на основі моделі TokenPost.ai. Можливо, він пропустив важливі деталі або містить неточності.