Η διαδικασία δημιουργίας λογαριασμών της πλατφόρμας διαδικτυακών συναλλαγών Robinhood αξιοποιήθηκε από παράγοντες απειλών για την εισαγωγή μηνυμάτων ηλεκτρονικού ψαρέματος σε νόμιμα μηνύματα ηλεκτρονικού ταχυδρομείου, εξαπατώντας τους χρήστες να πιστέψουν ότι οι λογαριασμοί τους είχαν ύποπτη δραστηριότητα.
Από χθες το βράδυ, οι πελάτες της Robinhood άρχισαν να λαμβάνουν email “Η πρόσφατη σύνδεσή σας στο Robinhood” που δήλωναν ότι εντοπίστηκε μια “Μη αναγνωρισμένη συσκευή συνδεδεμένη με τον λογαριασμό σας”, που περιείχε ασυνήθιστες διευθύνσεις IP και μερικούς αριθμούς τηλεφώνου.
«Εντοπίσαμε μια προσπάθεια σύνδεσης από μια συσκευή που δεν αναγνωρίζεται», αναφέρει το ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος. “Εάν δεν ήσασταν εσείς, ελέγξτε αμέσως τη δραστηριότητα του λογαριασμού σας για να ασφαλίσετε τον λογαριασμό σας.”
Στο μήνυμα ηλεκτρονικού ταχυδρομείου περιλαμβανόταν ένα κουμπί με τίτλο “Έλεγχος δραστηριότητας τώρα”, το οποίο οδήγησε σε έναν ιστότοπο ηλεκτρονικού “ψαρέματος” στο robinhood[.]casevaultreview[.]com, το οποίο είναι πλέον εκτός λειτουργίας.
Ωστόσο, τα στιγμιότυπα οθόνης στο Reddit υποδεικνύουν ότι ο ιστότοπος πιθανότατα χρησιμοποιήθηκε για να προσπαθήσει να κλέψει τα διαπιστευτήρια του Robinhood.
Αυτό που έκανε τα email πειστικά είναι ότι προέρχονταν από τη νόμιμη διεύθυνση email της Robinhood [email protected] και πέρασε τον έλεγχο ασφαλείας email SPF και DKIMμικρό.
Εκμετάλλευση του ελαττώματος κατά τη δημιουργία λογαριασμού Robinhood
Οι επιτιθέμενοι έκαναν κατάχρηση του Robinhood για να δημιουργήσουν μηνύματα ηλεκτρονικού “ψαρέματος” εκμεταλλευόμενοι ένα ελάττωμα στη διαδικασία ενσωμάτωσης της εταιρείας που τους επέτρεπε να εισάγουν αυθαίρετο HTML στα email επιβεβαίωσης του λογαριασμού της.
Η BleepingComputer επιβεβαίωσε ότι όταν εγγραφεί ένας νέος λογαριασμός Robinhood, η εταιρεία στέλνει αυτόματα ένα “Η πρόσφατη σύνδεσή σας στο Robinhood” email στη σχετική διεύθυνση, που περιέχει τον χρόνο εγγραφής, τη διεύθυνση IP, τις πληροφορίες της συσκευής και την κατά προσέγγιση τοποθεσία.
Για να εισαγάγουν το μήνυμα ηλεκτρονικού ψαρέματος, οι φορείς απειλών τροποποίησαν τα πεδία μεταδεδομένων της συσκευής τους για να συμπεριλάβουν ενσωματωμένο HTML, το οποίο η Robinhood δεν εξυγίαζε σωστά.
Αυτός ο κώδικας HTML εγχύθηκε στη συνέχεια στο πεδίο Συσκευή: του μηνύματος ηλεκτρονικού ταχυδρομείου δημιουργίας λογαριασμού, με αποτέλεσμα να αποδοθεί ως ψεύτικο μήνυμα “Μη αναγνωρισμένη συσκευή συνδεδεμένη με τον λογαριασμό σας”.
Για να στοχεύσουν πελάτες Robinhood, οι εισβολείς πιθανότατα χρησιμοποίησαν λίστες με γνωστές διευθύνσεις ηλεκτρονικού ταχυδρομείου πελατών από προηγούμενες παραβιάσεις δεδομένων. Τον Νοέμβριο του 2021, η Robinhood υπέστη παραβίαση δεδομένων που επηρέασε 7 εκατομμύρια πελάτες, με τα δεδομένα να προσφέρονται αργότερα προς πώληση σε ένα φόρουμ hacking.
Οι εισβολείς χρησιμοποίησαν επίσης τη συμπεριφορά του Gmail με κουκκίδες, όπου η προσθήκη τελειών σε μια διεύθυνση δεν αλλάζει τον προορισμό της, επιτρέποντάς τους να καταχωρούν λογαριασμούς χρησιμοποιώντας παραλλαγές πραγματικών διευθύνσεων email, ενώ παράλληλα παραδίδουν τα μηνύματα στους προβλεπόμενους παραλήπτες.
Ως αποτέλεσμα, οι παραλήπτες έλαβαν κάτι που φαινόταν ως μια τυπική ειδοποίηση σύνδεσης, αλλά με μια ενσωματωμένη ενότητα phishing που προειδοποιεί για “μη αναγνωρισμένη δραστηριότητα” και τους παροτρύνει να ελέγξουν τον λογαριασμό τους.
Ο Robinhood επιβεβαίωσε το περιστατικό σε δήλωση που δημοσιεύτηκε στο X.
“Το απόγευμα της Κυριακής, ορισμένοι πελάτες έλαβαν ένα παραποιημένο email από το [email protected] με θέμα “Η πρόσφατη σύνδεσή σας στο Robinhood”. δημοσίευσε ο RobinHood.
“Αυτή η απόπειρα ηλεκτρονικού ψαρέματος έγινε δυνατή λόγω κατάχρησης της ροής δημιουργίας λογαριασμού. Δεν ήταν παραβίαση των συστημάτων μας ή των λογαριασμών πελατών και δεν επηρεάστηκαν προσωπικές πληροφορίες και κεφάλαια.”
Η BleepingComputer επιβεβαίωσε ότι η Robinhood διόρθωσε αυτό το ελάττωμα καταργώντας το πεδίο Συσκευή: που είχε γίνει κατάχρηση στο παρελθόν από τα email δημιουργίας λογαριασμού τους.
Η Robinhood συμβουλεύει τους χρήστες που έλαβαν το μήνυμα να το διαγράψουν και να αποφύγουν να κάνουν κλικ σε οποιονδήποτε σύνδεσμο.
Η τεχνητή νοημοσύνη συνέδεσε τέσσερις ημέρες μηδέν σε ένα exploit που παρέκαμψε τόσο τα sandboxes του renderer όσο και του λειτουργικού συστήματος. Έρχεται ένα κύμα νέων κατορθωμάτων.
VIA: www.bleepingcomputer.com
