Die Phishing-Attacke demonstriert eine besonders tückische Angriffsweise: Die Betrüger nutzten einen Designfehler in Robinhhoods Accountverwaltung aus. Sie registrierten neue Konten mit abgewandelten Gmail-Adressen, indem sie den sogenannten “Dot Trick” einsetzten. Diesen Trick funktioniert, weil Gmail Punkte in Benutzernamen ignoriert (john.doe@gmail.com und johndoe@gmail.com sind identisch), Robinhood behandelt aber jede Variation als separates Konto.
Die Angreifer injizierten während der Kontoerstellung bösartige HTML-Code mit Phishing-Links in das Feld für Gerätenamen. Als Robinhood die automatische “recent login”-Benachrichtigung verschickte, wurde dieser unsaubere HTML-Code mitgerendert — und daraus entstanden klickbare Phishing-Links. Da die E-Mails echte Robinhood-Server durchliefen, passierten sie alle Sicherheitsprüfungen und wirkten völlig legitim.
Robinhood betonte, dass es sich nicht um einen Datenpannen-Sicherheitsbruch handle und keine Kundenkonten oder Gelder beeinträchtigt wurden. Trotzdem zeigt der Vorfall erhebliche Sicherheitsmängel: Das Unternehmen hätte Input-Validierung durchführen und HTML-Code in Benachrichtigungen desinfizieren müssen.
Experten vermuten, dass die Angreifer E-Mail-Adressen aus dem Datenleck von 2021 nutzten, als Millionen Namen und E-Mail-Adressen gestohlen wurden. Alternativ könnten sie extern beschaffte oder durchprobierte Gmail-Adressen verwendet haben.
Für deutsche Nutzer und Unternehmen ist dies ein Weckruf: Finanzdienstleister müssen Inputvalidierung ernst nehmen und alle Benutzerdaten in Mails desinfizieren. Das BSI empfiehlt zudem, verdächtige E-Mails nie anzuklicken, sondern direkt zu löschen. Nutzer sollten beim Online-Banking zusätzliche Authentifizierung (Zwei-Faktor-Authentifizierung) aktivieren. Unternehmen müssen regelmäßige Sicherheitsaudits durchführen und Schwachstellen im Account-Management schließen.