- Los atacantes aprovecharon una falla en los correos electrónicos de creación de cuentas de Robinhood para inyectar contenido de phishing
- Alertas falsas de noreply@robinhood.com redirigían a las víctimas a páginas de destino de robo de credenciales
- La vulnerabilidad se ha solucionado y no se han visto comprometidos los fondos ni las cuentas de los clientes.
Los expertos advierten que los ciberdelincuentes están haciendo un mal uso de Robinhood para infiltrarse con éxito en las bandejas de entrada de las víctimas con correos electrónicos de phishing para robar credenciales de inicio de sesión.
Robinhood es una popular plataforma de comercio electrónico, mejor conocida por permitir a los usuarios comprar y vender criptomonedas, ETF y futuros, pero algunos de sus usuarios recientemente comenzaron a recibir correos electrónicos advirtiendo sobre actividad de inicio de sesión inusual.
Esta es una práctica estándar, ya que cuando alguien de repente inicia sesión en una cuenta desde media dirección IP diferente en todo el mundo, el servicio envía un correo electrónico de advertencia al propietario, pero estos mensajes eran falsos.
El artículo continúa a continuación.
Explotar un error
Los correos electrónicos se originaron en la cuenta de correo electrónico legítima de Robinhood, noreply@robinhood.com, y como tal pasaron los controles de seguridad de correo electrónico SPF y DKIM, pero redirigieron a los destinatarios a una página de destino maliciosa diseñada para capturar sus credenciales de inicio de sesión en la plataforma.
Aparentemente, el proceso de creación de cuentas de Robinhood fue defectuoso. Cuando un usuario crea una nueva cuenta, la plataforma envía un correo electrónico de confirmación con detalles como hora de registro, dirección IP, información del dispositivo y ubicación aproximada. La falla permitió a los delincuentes modificar el campo de metadatos del dispositivo e incluir HTML incrustado, que Robinhood no desinfectó.
Ese HTML, que contenía el contenido real del correo electrónico de phishing, se inyectó en el dispositivo: campo del correo electrónico de creación de cuenta, haciendo que el correo electrónico apareciera como un mensaje de advertencia.
El último paso es distribuir correos electrónicos a las víctimas utilizando una lista de correo electrónico. Computadora pitando Cree que los correos electrónicos probablemente se obtuvieron en infracciones anteriores, posiblemente de la infracción de Robinhood de noviembre de 2021.
“El domingo por la noche, algunos clientes recibieron un correo electrónico falso de noreply@robinhood.com con el asunto ‘Su reciente inicio de sesión en Robinhood'”, advirtió la Compañía X. “Este intento de phishing fue posible gracias al abuso del flujo de creación de cuentas. Esto no fue una violación de nuestros sistemas o cuentas de clientes, y la información personal y los fondos no se vieron afectados”.
Desde entonces, la vulnerabilidad se solucionó y la página de destino utilizada para capturar el correo electrónico ahora está fuera de línea.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
