Para o ataque de pesca sofisticada contra Robinhood... o domínio e a autenticação estão ambos aprovados.

Segundo relatos, usuários do Robinhood receberam em grande quantidade, durante o fim de semana, e-mails de phishing que pareciam enviados diretamente pela empresa. Esses e-mails tinham endereços de remetente realmente com o domínio @robinhood.com, seus cabeçalhos de autenticação e assinaturas digitais (DKIM) estavam normalmente processados, contornando assim os filtros de spam.

Especialmente, alguns e-mails enviados de [email protected] foram até automaticamente agrupados no Gmail com alertas de segurança legítimos anteriores do Robinhood, formando o mesmo “fio de conversa”. Quase não há sinais externos evidentes de fraude, o problema central é que o próprio conteúdo, como links para induzir o usuário a inserir informações de login, é uma fraude.

A “técnica do ponto” e a injeção de HTML… abuso na canalização de notificações do Robinhood

O pesquisador de segurança Abdel Sabbah, ao analisar o ataque, avaliou de forma um pouco sombria que ele era “bastante bonito (kinda beautiful)”. Os atacantes primeiro exploraram a característica do Gmail de ignorar os pontos (.) na parte antes do @ no endereço (a chamada “dot trick”), permitindo que variações como [email protected] e [email protected] chegassem à mesma caixa de entrada.

O problema é que o Robinhood não realiza a normalização dessas variações de pontos, ao contrário do Gmail. Os atacantes criaram contas com pontos no nome, inseriram HTML na caixa de nome do dispositivo (device name) e induziram o modelo de e-mail de alerta de “atividade não reconhecida” do Robinhood a inserir esse conteúdo sem sanitização, ou seja, sem limpeza prévia. Como resultado, o e-mail de phishing pareceu passar por todas as verificações de “DKIM aprovado, SPF aprovado, DMARC aprovado”, sendo enviado de forma aparentemente “normal”.

O objetivo é o sequestro de contas… links que cobiçam até códigos 2FA

O chamado à ação (CTA) no e-mail aparece como um falso alerta de segurança, contendo hiperlinks para páginas controladas pelos atacantes. Essa tática é clássica: ao clicar no link e inserir as informações de login, o usuário não só entrega sua senha, mas também o código de autenticação de dois fatores (2FA), que é capturado pelos criminosos, permitindo o acesso à conta.

Como em outros ataques de phishing, o objetivo final é acessar os “fundos do usuário”. As contas do Robinhood são consideradas o principal alvo. Este caso revela que, mesmo com indicadores aparentemente normais (domínio, assinatura, servidor de envio), tudo pode estar em ordem, alertando investidores em criptomoedas e investidores comuns.

“Pare e pense ao ver o link no e-mail”… o hábito de verificar é fundamental

A análise do incidente se espalhou rapidamente nas redes sociais, com vários líderes de opinião em criptomoedas alertando para “ser cauteloso ao clicar”. O CTO da Ripple, David Schwartz, advertiu: “Mesmo e-mails que parecem vir do Robinhood (ou que podem ter sido enviados por sistemas legítimos) podem ser phishing, com táticas bastante sofisticadas.”

Casos semelhantes já ocorreram antes. Em abril de 2025, Nick Johnson, chefe do desenvolvimento do ENS (Ethereum Name Service), revelou que alguém abusou da infraestrutura do Google para enviar e-mails de phishing que pareciam vir de [email protected], assinados por DKIM. O caso do Robinhood transmite a mesma mensagem: não basta verificar o domínio do remetente e a assinatura, é preciso criar o hábito de não clicar imediatamente nos links, acessando o site oficial ou o aplicativo para confirmar as notificações.

Resumo do artigo por TokenPost.ai

🔎 Análise de mercado - Este caso de phishing usando o “domínio normal (@robinhood.com)” e autenticação legítima reforça que apenas confiar na tecnologia de e-mail não garante segurança - Contas de negociação/carteira/corretora vinculadas a fundos são o principal alvo de phishing, tanto para investidores em ações quanto em criptomoedas - Elementos de UI como “fios de conversa” podem ser abusados para aumentar a confiança e a taxa de cliques, destacando a importância de validação de modelos e entrada de dados (Sanitize) na plataforma/serviço de e-mail 💡 Pontos estratégicos - Não clicar nos links do e-mail, abrir o aplicativo ou o site oficial diretamente para verificar notificações e eventos de segurança (criar hábito de usar favoritos/entrada direta) - Se receber aviso de “login/atividade não reconhecida”: alterar senha imediatamente → sair de todas as sessões → resetar 2FA (preferencialmente usando autenticador ou chaves de segurança anti-phishing) → verificar endereços de retirada, dispositivos conectados - Mesmo que o e-mail pareça “normal”, avalie se o conteúdo (ações solicitadas) é suspeito: solicita login, código 2FA, enfatiza urgência, induz a visitar domínios externos, sinais de alto risco - Insights operacionais: evitar que usuários insiram HTML (escape/limpeza) ao inserir valores (como nomes de dispositivos), verificar estratégias de inserção de dados de usuários nos modelos de e-mail, considerar normalizar variações de pontos no Gmail ou prevenir registros duplicados 📘 Termos e definições - Phishing(: fraude que finge ser uma entidade confiável para roubar informações de contas, códigos de autenticação, etc. - DKIM/SPF/DMARC: sistemas de validação de e-mails que confirmam se a mensagem foi enviada por servidores autorizados pelo domínio (não garantem que o conteúdo seja seguro) - Dot trick (técnica do ponto): exploração do Gmail que ignora pontos no ID do usuário, usando essa característica para ataques - Injection (injeção de HTML): inserção de código HTML ou scripts na entrada para manipular a renderização do conteúdo - 2FA (autenticação de dois fatores): método de segurança que exige uma segunda forma de verificação além da senha (código, app, chave), que também pode ser alvo de phishing

💡 Perguntas frequentes )FAQ(

Q. Se o e-mail passou na verificação DKIM/SPF/DMARC, isso não é confiável? Não. DKIM/SPF/DMARC apenas confirmam se o e-mail foi enviado por servidores autorizados pelo domínio, não garantem que o conteúdo (links, instruções) seja seguro. Como neste caso, se o canal de notificações (modelo) for comprometido, pode gerar um e-mail de phishing que passa na validação. Q. Qual a forma mais segura de verificar se um e-mail de phishing é legítimo? Não clicar nos links do e-mail, acessar o Robinhood pelo aplicativo ou pelo site oficial usando favoritos ou entrada direta para verificar notificações e alertas de segurança. Se necessário, procurar o suporte oficial e denunciar o e-mail suspeito como spam/phishing. Q. O que fazer se eu cliquei no link e inseri login e código 2FA? Faça imediatamente, na seguinte ordem: )1( alterar a senha, )2( sair de todas as sessões/dispositivos, )3( resetar o 2FA (preferencialmente usando autenticador ou chaves de segurança), )4( verificar endereços de retirada, dispositivos e acessos API, )5( monitorar transações suspeitas e relatar o incidente ao suporte.

Cuidados do TokenPost.ai Este artigo foi elaborado com base em um modelo de linguagem do TokenPost.ai. Pode haver omissões ou diferenças em relação ao conteúdo original ou aos fatos.