Avvisi fantasma: come gli hacker hanno dirottato le email di benvenuto di Robinhood per una frenesia di phishing

Tutto è iniziato con un sussulto: gli utenti di Robinhood, molti dei quali non avevano effettuato l’accesso di recente, hanno ricevuto email inquietanti che avvertivano di accessi da “dispositivo non riconosciuto”. I messaggi sembravano autentici, provenivano dal vero indirizzo email di Robinhood e superavano persino i controlli di sicurezza. Ma dietro le quinte, gli hacker avevano trasformato il sistema di creazione degli account dell’azienda in un’arma, inserendo contenuti malevoli nelle email in grado di ingannare anche i più prudenti.

Per i criminali informatici, la credibilità è moneta. In questo caso, hanno trovato un modo ingegnoso per prendere in prestito la reputazione di Robinhood. Gli attaccanti hanno scoperto che, durante il processo di creazione dell’account, la piattaforma di trading inviava automaticamente un’email di notifica di “accesso recente” contenente informazioni su dispositivo e posizione. Manomettendo i metadati del dispositivo e incorporando codice HTML personalizzato, gli hacker potevano iniettare i propri messaggi di phishing direttamente in queste email.

Il risultato era un’email che non solo sembrava ufficiale, ma proveniva anche dai server di Robinhood - completa di tutti i segni distintivi della legittimità. La sezione di phishing avvertiva gli utenti di attività sospette e li esortava a “Rivedi attività ora”, con un pulsante che portava a un falso sito Robinhood progettato per rubare le credenziali di accesso.

Ciò che rendeva la truffa particolarmente pericolosa era il fatto che queste email superavano l’autenticazione SPF e DKIM - controlli standard del settore pensati per bloccare lo spoofing delle email. Questo dettaglio ha permesso ai messaggi malevoli di eludere i filtri antispam e finire nelle caselle di posta, dove anche i destinatari più diffidenti potevano essere colti di sorpresa.

Gli investigatori ritengono che gli attaccanti abbiano preso di mira veri utenti di Robinhood, probabilmente utilizzando liste di email trapelate dalla violazione dei dati del 2021 dell’azienda. Hanno impiegato trucchi ingegnosi, come il dot aliasing di Gmail, per assicurarsi che le email di phishing raggiungessero le vittime previste registrando più account con variazioni dello stesso indirizzo.

Robinhood ha riconosciuto l’incidente, sottolineando che nessun account è stato violato e nessun fondo è stato rubato. La falla, affermano, è stata corretta rimuovendo dalle email di onboarding il campo “Dispositivo” oggetto di abuso. Eppure, l’episodio è un monito netto: anche i messaggi di sistema più ordinari possono essere trasformati in armi quando le sviste di sicurezza restano senza controllo.

Man mano che le campagne di phishing diventano sempre più sofisticate, il confine tra comunicazione legittima e malevola si fa sfumato. Per gli utenti, la vigilanza resta l’ultima difesa - perché anche le piattaforme più affidabili possono essere rivolte contro di loro da un avversario astuto.

TECHCROOK

YubiKey 5 NFC è una chiave di sicurezza hardware pensata per ridurre drasticamente il rischio di furto credenziali in scenari di phishing come quello descritto, dove email apparentemente legittime spingono l’utente a inserire username e password su siti falsi. Supporta autenticazione forte a due fattori e passwordless con standard FIDO2/WebAuthn e U2F, oltre a funzioni avanzate come OTP e smart card (PIV) per ambienti aziendali. L’uso è semplice: si collega via USB-A e, su dispositivi compatibili, funziona anche via NFC. È particolarmente efficace perché lega l’accesso al dominio reale, bloccando molte pagine di login contraffatte. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Phishing: Il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
• SPF (Sender Policy Framework): Un metodo di autenticazione delle email che verifica se un server di posta è autorizzato a inviare messaggi per un dominio specifico.
• DKIM (DomainKeys Identified Mail): DKIM è un sistema di sicurezza per le email che utilizza firme digitali per dimostrare che le email sono autentiche e non sono state alterate, aiutando a prevenire lo spoofing.
• Iniezione HTML: L’iniezione HTML si verifica quando gli attaccanti inseriscono codice HTML non autorizzato in un sito, modificandone l’aspetto o il comportamento per gli utenti e comportando rischi per la sicurezza.
• Dot aliasing: Il dot aliasing consente che le email con punti aggiunti vengano recapitate nella stessa casella di posta, permettendo variazioni dell’indirizzo e potenziali criticità di sicurezza.