Mengenai serangan phishing canggih terhadap Robinhood... domain dan otentikasi keduanya telah berhasil.

Dikabarkan bahwa pengguna Robinhood menerima sejumlah besar email phishing yang tampaknya dikirim langsung oleh perusahaan selama akhir pekan. Email-email ini memang berasal dari alamat pengirim dengan domain @robinhood.com, header otentikasi dan tanda tangan digital seperti (DKIM) diproses dengan benar, sehingga melewati filter spam.

Terutama, beberapa email yang dikirim dari [email protected] bahkan secara otomatis digabungkan dalam Gmail dengan peringatan keamanan normal Robinhood sebelumnya ke dalam satu “percakapan” yang sama. Hampir tidak ada tanda-tanda anomali eksternal yang mencolok, masalah utama adalah bahwa “konten” seperti tautan yang memancing pengguna memasukkan informasi login sendiri sudah merupakan penipuan.

“Teknik titik” dan injeksi HTML… Penyalahgunaan saluran pemberitahuan Robinhood

Peneliti keamanan Abdel Sabbah dalam menganalisis serangan ini menilai secara agak suram bahwa serangan ini “cukup indah (kinda beautiful)”. Penyerang pertama-tama memanfaatkan fitur Gmail yang mengabaikan bagian sebelum titik (.) dalam alamat email (yang disebut “dot trick”), sehingga variasi alamat seperti [email protected] dan [email protected] dapat masuk ke kotak masuk yang sama.

Masalahnya adalah Robinhood tidak melakukan normalisasi terhadap variasi titik seperti Gmail. Penyerang membuat akun dengan titik di dalamnya, menyisipkan HTML asli ke dalam kolom nama perangkat (device name), dan memancing template email pemberitahuan “aktivitas tidak dikenali” Robinhood untuk langsung menyisipkan HTML tersebut ke dalam email tanpa proses sanitasi (pembersihan). Penjelasan menunjukkan bahwa hasilnya memenuhi semua syarat “DKIM lolos, SPF lolos, DMARC lolos” dan tampak sebagai email phishing “normal” yang dikirim secara sah.

Targetnya adalah peretasan akun… bahkan kode 2FA pun menjadi sasaran tautan

Ajakan bertindak (CTA) dalam email muncul dalam bentuk peringatan keamanan palsu yang berisi tautan ke halaman web yang dikendalikan penyerang. Ini adalah teknik umum: setelah pengguna mengklik tautan dan memasukkan informasi login, bukan hanya kata sandi akun, tetapi juga kode otentikasi dua faktor (2FA) akan direkam, sehingga akses ke akun dapat dicuri.

Seperti aktivitas phishing lainnya, tujuan akhir serangan ini adalah mengakses “dana pengguna”. Akun Robinhood dianggap sebagai target utama. Kasus ini mengungkapkan bahwa bahkan indikator yang tampaknya normal (domain, tanda tangan otentikasi, server pengirim) semuanya bisa tampak normal, memberi peringatan kepada investor cryptocurrency dan investor umum.

“Lihat tautan dalam email, berhenti sejenak”… Kebiasaan verifikasi adalah kunci

Analisis kejadian ini menyebar cepat di media sosial, dan banyak pemimpin opini di bidang cryptocurrency juga mengingatkan “berhati-hati saat mengklik”. CTO Ripple David Schwartz memperingatkan: “Bahkan email yang tampaknya berasal dari Robinhood (bahkan mungkin dikirim melalui sistem email nyata) bisa jadi adalah email phishing, tekniknya sangat cerdik.”

Kasus serupa juga pernah terjadi sebelumnya. Pada April 2025, Nick Johnson, kepala pengembang Ethereum Name Service ((ENS)), mengungkapkan bahwa ada yang menyalahgunakan infrastruktur Google untuk mengirim email phishing yang tampaknya berasal dari [email protected] dan lolos tanda tangan DKIM. Kasus Robinhood ini juga menyampaikan pesan yang sama. Hanya mengandalkan domain pengirim dan status otentikasi saja tidak cukup; kebiasaan harus dibangun: jangan langsung klik tautan dalam email, melainkan login langsung melalui aplikasi atau situs resmi untuk memverifikasi pemberitahuan tersebut.

Ringkasan artikel oleh TokenPost.ai

🔎 Interpretasi pasar - Kasus ini menunjukkan bahwa serangan phishing melalui “domain normal(@robinhood.com)· otentikasi normal(DKIM/SPF/DMARC)” sekali lagi membuktikan bahwa hanya mengandalkan indikator kepercayaan teknis email tidak cukup untuk menjamin keamanan - Akun trading/dompet/sekuritas yang terhubung langsung dengan dana adalah target utama phishing, baik investor saham maupun cryptocurrency menghadapi risiko yang sama - Elemen UI seperti “percakapan (thread) email yang digabungkan” dapat disalahgunakan, meningkatkan kepercayaan dan klik, menyoroti pentingnya template platform/layanan email dan validasi input (Sanitize) 💡 Poin strategi - Jangan klik tautan dalam email, buka langsung aplikasi atau situs resmi untuk verifikasi pemberitahuan dan kejadian keamanan (biasakan bookmark atau input langsung) - Jika menerima peringatan “login/aktivitas tidak dikenali”: segera ubah kata sandi → keluar dari semua sesi → reset 2FA (sebaiknya gunakan aplikasi otentikator/ kunci akses) → periksa alamat penarikan/ perangkat yang terhubung - Bahkan jika email tampak “normal dikirim”, tetap periksa isi (permintaan tindakan) apakah mencurigakan: permintaan login/ kode 2FA, penekanan urgensi, mengarahkan ke domain eksternal, ini adalah sinyal risiko tinggi - Wawasan dari operasional layanan: cegah input HTML (escape/sanitasi) dari pengguna (seperti nama perangkat), periksa strategi penyisipan data pengguna dalam template email, pertimbangkan normalisasi variasi titik Gmail atau pencegahan pendaftaran ganda 📘 Terminologi - Phishing(Phishing): teknik penipuan dengan menyamar sebagai institusi/ layanan terpercaya, mencuri informasi akun, kode otentikasi, dll. - DKIM/SPF/DMARC: sistem verifikasi email yang memastikan email berasal dari server yang diotorisasi domain tersebut (meskipun lolos ini tidak menjamin isi aman) - Dot trick (teknik titik): memanfaatkan Gmail yang mengabaikan bagian sebelum titik dalam ID pengguna, menganggapnya sebagai akun yang sama untuk serangan - Injection HTML(Injection): menyisipkan HTML/script dalam input untuk memanipulasi tampilan/email sesuai keinginan penyerang - 2FA (Otentikasi dua faktor): metode keamanan yang meminta otentikasi tambahan (kode/aplikasi/kunci) selain password (juga bisa dicuri melalui phishing)

💡 FAQ (Frequently Asked Questions)

Q. Jika email lolos verifikasi DKIM/SPF/DMARC, apakah berarti itu asli? Bukan. DKIM/SPF/DMARC hanya memastikan “email dikirim dari server yang diotorisasi domain tersebut”, tidak menjamin isi email (tautan/pemberitahuan) aman. Seperti kasus ini, jika saluran pemberitahuan (template) layanan tercampur konten berbahaya, email phishing yang lolos verifikasi bisa saja terjadi. Q. Apa cara paling aman untuk memastikan email phishing ini? Jangan klik tautan dalam email, login langsung melalui aplikasi Robinhood atau situs resmi yang disimpan sebagai bookmark untuk memeriksa pemberitahuan dan kejadian keamanan. Jika perlu, cari dan hubungi layanan pelanggan resmi, dan laporkan email mencurigakan sebagai spam/phishing. Q. Apa yang harus dilakukan jika sudah mengklik tautan dan memasukkan info login serta kode 2FA? Segera lakukan langkah berikut: (1) Ubah kata sandi, (2) Keluar dari semua perangkat/sesi, (3) Reset 2FA (sebaiknya pakai aplikasi otentikator/kunci akses), (4) Periksa alamat penarikan/akun terhubung, perangkat, akses API, (5) Laporkan transaksi/pencairan mencurigakan ke layanan pelanggan dan lakukan langkah keamanan lainnya.

Catatan AI TokenPost.ai Artikel ini disusun menggunakan model bahasa berbasis TokenPost.ai. Kemungkinan ada penghilangan konten utama asli atau ketidaksesuaian dengan fakta.