Den Ausgangspunkt bildete laut Robinhood ein Missbrauch des Ablaufs zur Kontoerstellung. „Dieser Phishing-Versuch wurde durch den Missbrauch des Kontoerstellungs-Ablaufs möglich", erklärte das Unternehmen. „Es handelte sich nicht um einen Einbruch in unsere Systeme oder Kundenkonten, und persönliche Informationen sowie Guthaben waren nicht betroffen."
Experten, die die Phishing-Mails untersuchten, beschreiben das Vorgehen im Detail. Die Angreifer legten neue Robinhood-Konten an, indem sie bestehende Gmail-Adressen über den sogenannten „Punkt-Trick" abwandelten. Hintergrund ist, dass Gmail Punkte in einem Nutzernamen ignoriert – ob sie eingefügt oder entfernt werden, spielt für die Zustellung keine Rolle. Robinhood hingegen behandelt jede Schreibweise als eigenständige Adresse. So konnten die Täter ein neues Konto erstellen, dessen Mails Gmail dennoch an ein bereits bestehendes Postfach zustellte.
Während der Registrierung schleusten die Angreifer schädlichen HTML-Code mit Phishing-Links in die Felder für den Gerätenamen ein. Dadurch lösten sie legitime Benachrichtigungen über eine „kürzliche Anmeldung" aus, die Robinhood automatisch verschickt. Diese Mails stellten den nicht bereinigten HTML-Code dar und enthielten somit anklickbare Phishing-Links.
Weil die Nachrichten aus den eigenen Systemen von Robinhood stammten, bestanden sie sämtliche Authentifizierungsprüfungen – ein Umstand, der sie besonders überzeugend machte.
Robinhood war bereits in der Vergangenheit von einem Datenleck betroffen, bei dem Angreifer Millionen von Namen und E-Mail-Adressen entwendeten. Die aktuelle Phishing-Kampagne könnte auf damals gestohlene Adressen zurückgegriffen haben; ebenso ist möglich, dass die Täter Gmail-Adressen aus externen Quellen bezogen oder schlicht erraten haben.