Die Angriffsmethode war besonders perfide: Betrüger registrierten neue Robinhood-Konten und modifizierten dabei ihre Gerätemetadaten so, dass diese HTML-Code enthielten. Robinhood validierte diese Eingaben nicht ausreichend, weshalb der HTML-Code unverarbeitet in die automatisch generierten Kontobestätigungsmails eingespritzt wurde. Das System platzierte den manipulierten Code im “Device:"-Feld der E-Mail, wodurch eine täuschend echte Warnung vor einem unbekannten Gerät entstand, inklusive verdächtiger IP-Adressen und Telefonnummern-Teile.
Besonders clever war die Nutzung von Gmail-Aliasing: Durch das Hinzufügen von Punkten in E-Mail-Adressen (etwa max.musterman@gmail.com statt maxmusterman@gmail.com) konnten Angreifer Konten für existierende Kundenemails registrieren, ohne dass diese es sofort bemerkten. Die Empfänger der Phishing-Mails erhielten die Nachricht dennoch. Die Angreifer arbeiteten zudem mit Listen von E-Mailadressen aus dem Robinhood-Datenleck von November 2021, bei dem die Daten von 7 Millionen Kunden kompromittiert wurden.
Die gefälschten Mails führten auf die Phishing-Domain robinhood[.]casevaultreview[.]com, die vermutlich der Passwort- und Zugriffsdiebstahl diente. Robinhood bestätigte den Vorfall am Sonntag und betonte, dass es sich nicht um einen Datenleck handle und Kundendaten sowie Vermögen nicht betroffen seien. Das Unternehmen hat die Sicherheitslücke inzwischen geschlossen, indem das problematische “Device:"-Feld aus den Kontoerstellungs-E-Mails entfernt wurde.
Der Vorfall illustriert ein grundlegendes Sicherheitsrisiko: Legitime Kommunikationskanäle von Finanzunternehmen werden zunehmend als Angriffsvektoren missbraucht. Deutsche Finanzdienstleister sollten ihre Onboarding-Prozesse überprüfen und sicherstellen, dass benutzergenerierte Inhalte vollständig validiert und neutralisiert werden. Das BSI empfiehlt Nutzern, verdächtige E-Mails kritisch zu prüfen, auch wenn sie von bekannten Absendern stammen. Robinhood rät betroffenen Nutzern, die Mails zu löschen und keine Links anzuklicken.