Propust u Robinhood registraciji korišćen za phishing poruke
Napadači su zloupotrebili Robinhood proces otvaranja naloga kako bi u legitimne email poruke ubacili phishing sadržaj. Poruke su stizale sa adrese noreply@robinhood.com i prolazile SPF i DKIM provere, zbog čega su delovale uverljivo korisnicima koji su ih primili. Problem je bio u tome što Robinhood nije pravilno čistio device metadata polja, pa je HTML ubačen u polje Device prikazan kao lažno upozorenje o nepoznatom uređaju i sumnjivoj aktivnosti. Kompanija je potvrdila incident, navela da nije reč o proboju sistema ili korisničkih naloga, i uklonila sporno Device polje iz emailova za registraciju.
Najveći rizik ovde nije bio samo link ka phishing sajtu, već poverenje koje korisnik prirodno ima u poruku poslatu sa prave adrese kompanije. Kada napadač može da zloupotrebi legitimnu poslovnu poruku, klasična pravila tipa „proveri pošiljaoca” postaju nedovoljna i korisnik mora da obrati pažnju na kontekst, link i samu radnju koja se od njega traži.
- Ne klikati na linkove iz poruka koje traže hitnu proveru naloga, već ručno otvoriti zvanični sajt ili aplikaciju
- Obrisati Robinhood poruke sa naslovom „Your recent login to Robinhood” ako sadrže upozorenje o nepoznatom uređaju i link ka spoljnjem domenu
- Proveriti da li link u emailu vodi na zvanični Robinhood domen pre bilo kakvog unosa kredencijala
- Uključiti višefaktorsku autentifikaciju za brokerske i finansijske naloge
- Kod poslovnih servisa proveriti da li email šabloni pravilno čiste korisnički unos pre prikaza u porukama