Для точной фишинговой атаки на Робин Гуда… домены и аутентификация подтверждены.

Сообщается, что пользователи Robinhood в выходные дни массово получали казавшиеся отправленными напрямую компанией «фишинговые» письма. Эти письма действительно имели адрес отправителя с доменом @robinhood.com, их заголовки аутентификации и цифровые подписи, такие как (DKIM), обрабатывались нормально, что обходило фильтры спама.

Особенно, часть писем, отправленных с [email protected], в Gmail даже автоматически объединялись с предыдущими безопасными уведомлениями Robinhood в один «разговорный поток». Практически не было явных внешних признаков аномалии, однако основная проблема в том, что сама «содержание», содержащее ссылки для ввода логина, — это уже мошенничество.

«Трюк с точками» и инъекции HTML… злоупотребление каналами уведомлений Robinhood

Безопасный исследователь Abdel Sabbah при анализе этой атаки отметил её «довольно красивой (kinda beautiful)». Злоумышленники сначала использовали особенности Gmail игнорировать точки (.) в части адреса перед @ (так называемый «dot trick»), что позволяло адресам вроде [email protected] и [email protected] попадать в один и тот же почтовый ящик.

Проблема в том, что Robinhood не нормализует вариации с точками так же, как Gmail. Злоумышленники создали аккаунты с точками, вставили исходный HTML в поле имени устройства (device name) и спровоцировали шаблон уведомления о «неопознанной активности» Robinhood вставлять его напрямую без очистки (sanitize). В результате получалась «фишинговая» почта, которая проходила все проверки DKIM, SPF, DMARC и казалась «нормальной отправкой».

Цель — захват аккаунта… даже 2FA-коды и ссылки на них

В письме призыв к действию (CTA) оформлен в виде ложного предупреждения о безопасности с гиперссылкой на сайт злоумышленников. Это классическая тактика: пользователь кликает по ссылке, вводит логин и пароль, а также — что особенно важно — его 2FA-код, что позволяет злоумышленникам получить полный доступ к аккаунту.

Как и в других фишинговых атаках, конечная цель — доступ к «финансам пользователя». Основной целью считаются аккаунты Robinhood. Этот случай показывает, что даже при наличии казавшихся нормальными признаков (домен, подписи, сервер отправки) всё равно возможна атака, что должно насторожить инвесторов в криптовалюты и обычных инвесторов.

«Остановитесь и проверьте ссылку в письме»… важность привычки проверять

Анализ инцидента быстро распространился в соцсетях, многие лидеры мнений в криптосообществе предупредили о необходимости «осторожности при клике». Технический директор Ripple David Schwartz предупредил: «Даже письма, которые выглядят как от Robinhood (даже если они отправлены через реальную систему), могут быть фишинговыми, и злоумышленники используют очень хитрые методы.»

Подобные случаи происходили и раньше. В апреле 2025 года главный разработчик Ethereum Name Service (ENS) Nick Johnson сообщил, что злоумышленники злоупотребляли инфраструктурой Google, отправляя фишинговые письма, казавшиеся исходящими с [email protected] и прошедшие DKIM-подпись. Этот случай Robinhood показывает то же самое. Оценивать безопасность только по домену отправителя и статусу подписи недостаточно — необходимо привычка: не кликать сразу по ссылкам в письмах, а входить через приложение или официальный сайт для повторной проверки уведомлений.

Краткое содержание статьи от TokenPost.ai

🔎 Аналитика рынка — данный случай подтверждает, что фишинговые атаки через «нормальный» домен (@robinhood.com) с «нормальной» аутентификацией (DKIM/SPF/DMARC) вновь показывают, что доверие только к техническим метрикам почты недостаточно — основная цель — доступ к средствам на счетах, будь то торговля, кошельки или брокерские счета, — это первоочередная цель фишинга, и как криптоинвесторы, так и обычные инвесторы подвержены рискам — UI-элементы, такие как «объединение потоков (диалогов)», могут быть злоупотреблены для повышения доверия и увеличения кликов, что подчеркивает важность верификации шаблонов платформ и входных данных (Sanitize). 💡 Стратегические рекомендации — не кликать по ссылкам в письмах, а напрямую открывать приложение или официальный сайт для проверки уведомлений и безопасности (привычка использовать закладки или вводить URL вручную) — при получении предупреждения о «неопознанной активности»: немедленно менять пароль → выходить из всех сессий → сбрасывать 2FA (предпочтительно использовать аутентификатор или ключи доступа) → проверять адреса вывода средств и подключенные устройства — даже если письмо кажется «нормальным», важно оценить содержание (требуемые действия): запросы логина, 2FA, срочность,诱导 перехода на внешние домены — все это признаки высокого риска — Операционный уровень: предотвращать HTML-инъекции в поля ввода (экранирование/очистка), проверять стратегию вставки пользовательских данных в шаблоны писем, рассматривать нормализацию вариаций с точками Gmail или предотвращение дублирующей регистрации. 📘 Терминология — Фишинг (Phishing): мошенническая техника, имитирующая доверенные организации или сервисы для кражи аккаунтов, кодов аутентификации и т.п. — DKIM/SPF/DMARC: системы проверки, подтверждающие, что письмо отправлено с авторизованных серверов домена (однако их наличие не гарантирует безопасность содержимого) — Dot trick (точечный трюк): использование особенностей Gmail игнорировать точки в части адреса, чтобы атаковать через вариации адресов — HTML-инъекция (Injection): внедрение HTML или скриптов в поля ввода для рендеринга вредоносного содержимого — 2FA (двухфакторная аутентификация): дополнительный уровень защиты, требующий подтверждения через код, приложение или ключ, который также может быть украден через фишинг.

💡 Часто задаваемые вопросы (FAQ)

Q. Если письмо прошло проверку DKIM/SPF/DMARC, значит ли это, что оно настоящее? Нет. Эти проверки подтверждают только, что письмо было отправлено с сервера, авторизованного доменом, но не гарантируют безопасность содержимого (ссылок, инструкций). Как в этом случае, так и в текущем, если в шаблоне уведомлений есть вредоносный код, оно может пройти проверку и оказаться фишинговым. Q. Как безопасно проверить такие письма? Не кликать по ссылкам, а входить в Robinhood через приложение или официальный сайт (используя закладки или ввод URL вручную). При необходимости искать уведомления через официальные источники и связываться с поддержкой, а также жаловаться на подозрительные письма как спам или фишинг. Q. Что делать, если я уже кликнул по ссылке и ввел логин, пароль и 2FA? Следуйте этим шагам: (1) — сменить пароль, (2) — выйти из всех устройств и сессий, (3) — сбросить 2FA (предпочтительно использовать аутентификатор или ключи), (4) — проверить вывод средств, подключенные устройства и API-доступ, (5) — проверить наличие подозрительных транзакций или попыток вывода и связаться с поддержкой для сообщения о безопасности.

TP AI Меры предосторожности В статье использована модель на базе TokenPost.ai. Возможны пропуски ключевых моментов или расхождения с реальностью.