Alertes Fantômes : Comment des Hackers ont Détourné les Emails de Bienvenue de Robinhood pour une Vague de Phishing

Tout a commencé par un choc : des utilisateurs de Robinhood, dont beaucoup n’avaient pas récemment ouvert de session, ont reçu des emails glaçants avertissant d’une connexion depuis un « appareil non reconnu ». Les messages semblaient authentiques, provenaient de la véritable adresse email de Robinhood, et passaient même les contrôles de sécurité. Mais en coulisses, des hackers avaient transformé le système de création de compte de l’entreprise en arme, injectant leur propre contenu malveillant dans des emails capables de tromper même les plus prudents.

Pour les cybercriminels, la crédibilité est une monnaie d’échange. Dans ce cas, ils ont trouvé un moyen ingénieux d’emprunter la réputation de Robinhood. Les attaquants ont découvert que, lors du processus de création de compte, la plateforme de trading envoyait automatiquement un email de notification de « connexion récente » contenant des informations sur l’appareil et la localisation. En manipulant les métadonnées de l’appareil et en y intégrant du code HTML personnalisé, les hackers pouvaient injecter leurs propres messages de phishing directement dans ces emails.

Le résultat : un email non seulement officiel en apparence, mais aussi envoyé depuis les propres serveurs de Robinhood - avec tous les signes de légitimité. La section de phishing alertait les utilisateurs d’une activité suspecte et les incitait à « Vérifier l’activité maintenant », avec un bouton menant vers un faux site Robinhood conçu pour voler les identifiants de connexion.

Ce qui rendait l’arnaque particulièrement dangereuse, c’est que ces emails passaient les authentifications SPF et DKIM - des contrôles standards censés bloquer l’usurpation d’adresse email. Ce détail permettait aux messages malveillants d’échapper aux filtres anti-spam et d’atterrir dans les boîtes de réception, où même les destinataires vigilants pouvaient se faire piéger.

Les enquêteurs pensent que les attaquants visaient de véritables utilisateurs de Robinhood, probablement à l’aide de listes d’emails issues de la fuite de données de 2021 de l’entreprise. Ils ont utilisé des astuces ingénieuses, comme l’aliasation par points de Gmail, pour s’assurer que les emails de phishing atteignent leurs victimes en enregistrant plusieurs comptes avec des variantes de la même adresse.

Robinhood a reconnu l’incident, soulignant qu’aucun compte n’a été compromis et qu’aucun fonds n’a été volé. Selon eux, la faille a été corrigée en supprimant le champ « Appareil » des emails d’onboarding. Pourtant, cet épisode rappelle crûment que même les messages système les plus anodins peuvent être transformés en armes si les failles de sécurité ne sont pas corrigées.

À mesure que les campagnes de phishing gagnent en sophistication, la frontière entre communication légitime et malveillante s’estompe. Pour les utilisateurs, la vigilance reste la dernière ligne de défense - car même les plateformes les plus fiables peuvent être retournées contre eux par un adversaire ingénieux.

WIKICROOK

• Phishing : Le phishing est une cybercriminalité où des attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
• SPF (Sender Policy Framework) : Une méthode d’authentification des emails qui vérifie si un serveur de messagerie est autorisé à envoyer des messages pour un domaine spécifique.
• DKIM (DomainKeys Identified Mail) : DKIM est un système de sécurité des emails qui utilise des signatures numériques pour prouver que les messages sont authentiques et n’ont pas été modifiés, aidant à prévenir l’usurpation.
• Injection HTML : L’injection HTML consiste à insérer du code HTML non autorisé dans un site, modifiant son apparence ou son comportement pour les utilisateurs et présentant des risques de sécurité.
• Aliasation par points : L’aliasation par points permet aux emails comportant des points supplémentaires d’être livrés à la même boîte de réception, ce qui autorise des variantes d’adresse et pose des risques de sécurité potentiels.