Phishing über Robinhood: Angreifer schleusen HTML in echte Konto-E-Mails ein

Zusammenfassung

Kriminelle haben den Registrierungsprozess der Online-Handelsplattform Robinhood ausgenutzt, um Phishing-Nachrichten in legitime E-Mails des Unternehmens einzuschleusen. Die Empfänger sollten glauben, auf ihren Konten habe es verdächtige Aktivitäten gegeben. Beginnend in der vergangenen Nacht erhielten Robinhood-Kunden E-Mails mit dem Betreff „Your recent login to Robinhood", die vor einem „nicht erkannten, mit Ihrem Konto verbundenen Gerät" warnten und ungewöhnliche IP-Adressen sowie unvollständige Telefonnummern enthielten. Überzeugend wirkten die Nachrichten vor allem deshalb, weil sie tatsächlich von der echten Adresse noreply@robinhood.com stammten und die E-Mail-Sicherheitsprüfungen SPF und DKIM bestanden. In der E-Mail befand sich eine Schaltfläche mit der Aufschrift „Review Activity Now", die auf eine Phishing-Seite unter robinhood[.]casevaultreview[.]com führte; diese ist inzwischen offline. Screenshots auf Reddit deuten darauf hin, dass die Seite Robinhood-Zugangsdaten abgreifen sollte. Robinhood bestätigte den Vorfall in einer Stellungnahme auf X und betonte, es habe sich nicht um einen Einbruch in die eigenen Systeme oder in Kundenkonten gehandelt; persönliche Daten und Guthaben seien nicht betroffen gewesen.

Möglich wurde der Angriff durch eine Schwachstelle im Registrierungsprozess von Robinhood. Wie BleepingComputer bestätigte, verschickt das Unternehmen bei jeder Neuanmeldung automatisch eine E-Mail mit dem Betreff „Your recent login to Robinhood", die unter anderem Registrierungszeitpunkt, IP-Adresse, Geräteinformationen und einen ungefähren Standort enthält.

An genau dieser Stelle setzten die Angreifer an: Sie veränderten die Metadatenfelder ihres Geräts so, dass sie eingebetteten HTML-Code enthielten. Robinhood bereinigte diese Eingaben nicht ausreichend, sodass der Code in das Feld „Device:" der Bestätigungs-E-Mail übernommen wurde. Dort wurde er als gefälschte Warnung vor einem „nicht erkannten, mit dem Konto verbundenen Gerät" dargestellt. So erhielten die Empfänger eine scheinbar normale Login-Benachrichtigung, in die ein Phishing-Abschnitt eingebettet war, der vor „nicht erkannter Aktivität" warnte und zum Überprüfen des Kontos drängte.

Um an die Zieladressen zu gelangen, griffen die Täter laut BleepingComputer vermutlich auf Listen bekannter Kunden-E-Mail-Adressen aus früheren Datenlecks zurück. Im November 2021 war Robinhood von einem Datenleck betroffen, das 7 Millionen Kunden traf; die Daten wurden später in einem Hackerforum zum Verkauf angeboten.

Zusätzlich nutzten die Angreifer das sogenannte Punkt-Aliasing von Gmail aus: Fügt man einer Adresse Punkte hinzu, ändert das nichts am Zustellungsziel. Auf diese Weise konnten sie Konten mit Varianten echter E-Mail-Adressen registrieren, während die Nachrichten weiterhin bei den eigentlichen Empfängern ankamen.

Robinhood bestätigte den Vorfall auf X. „Am Sonntagabend erhielten einige Kunden eine gefälschte E-Mail von noreply@robinhood.com mit der Betreffzeile ‚Your recent login to Robinhood’", so das Unternehmen. „Dieser Phishing-Versuch wurde durch einen Missbrauch des Konto-Erstellungsprozesses ermöglicht. Es handelte sich nicht um einen Einbruch in unsere Systeme oder Kundenkonten, und persönliche Daten sowie Guthaben waren nicht betroffen."

Nach Bestätigung durch BleepingComputer hat Robinhood die Lücke inzwischen geschlossen, indem das missbrauchte Feld „Device:" aus den Registrierungs-E-Mails entfernt wurde. Nutzern, die eine solche Nachricht erhalten haben, rät Robinhood, sie zu löschen und keine Links anzuklicken.

Phishing über Robinhood: Angreifer schleusen HTML in echte Konto-E-Mails ein

Ähnliche Artikel

Neueste Artikel