Pelanggan Robinhood menerima beberapa email phishing yang sangat meyakinkan akhir pekan ini. Pesan-pesan tersebut tampak datang langsung dari perusahaan, menampilkan header yang terautentikasi, ditandatangani dengan benar, menyertakan alamat pengirim yang asli, dikirim dari server email yang autentik, dan tidak tertangkap oleh filter spam.
Yang lebih buruk, email dari [email protected] bahkan mendapatkan rute otomatis Gmail ke dalam utas percakapan yang sama dengan peringatan keamanan sebelumnya yang sah dari Robinhood.
Satu-satunya hal yang curang dari email tersebut adalah ketidakberaturan teknis yang tidak jelas dan isinya, yaitu ajakan tindakan phishing yang mencari informasi login.
Pada Minggu malam, peretas menggunakan jalur notifikasi milik Robinhood sendiri untuk melancarkan serangan mereka.
Analisis mengenai eksploitasi ini segera viral di media sosial tak lama setelah itu.
Email phishing Robinhood 'cukup indah'
Peneliti keamanan Abdel Sabbah memposting analisis tentang kejadian ini, menyebutnya "cukup indah" dengan konotasi yang menyeramkan. Sayangnya, ia benar.
Untuk merancang serangan tersebut, peretas pertama kali memanfaatkan "trik titik" Gmail, sebuah fitur Google yang terkenal di mana Gmail mengarahkan [email protected], [email protected], dan [email protected] ke kotak masuk yang sama.
Gmail, tidak seperti internet lainnya, mengabaikan titik pada bagian alamat sebelum simbol @, sehingga semua varian tersebut dikirimkan ke kotak masuk yang sama.
Karena Robinhood, tidak seperti Gmail, tidak menormalisasi varian bertitik, seorang penyerang menggunakan versi yang dimodifikasi dengan "titik" dari email pelanggan sah Robinhood.
Selanjutnya, penyerang menetapkan nama perangkat pada akun baru ke sebuah blok HTML mentah. Ketika email "aktivitas tidak dikenal" Robinhood dibuat, template menyisipkan nama perangkat tersebut tanpa membersihkannya, sehingga merender HTML berbahaya tersebut.
Hasilnya, dalam kata-kata Sabbah, adalah apa yang tampak sebagai "email asli dari [email protected], DKIM lolos, SPF lolos, DMARC lolos, dengan CTA phishing."
CTA atau "call to action" tersebut, tentu saja, adalah email peringatan keamanan palsu dengan hyperlink ke halaman web yang dikendalikan penyerang yang memanen kredensial login dan kode autentikasi dua faktor.
Tujuan akhir, seperti hampir semua kampanye phishing, adalah mencuri uang pelanggan — dalam hal ini, dari akun Robinhood mereka.
Baca selengkapnya: Robinhood membayar $605 juta untuk membeli saham Sam Bankman-Fried
Pikirkan sebelum mengklik email apa pun
Banyak influencer kripto memperingatkan orang-orang tentang email yang meyakinkan tersebut.
David Schwartz dari Ripple memperkuat peringatan tersebut. "Email apa pun yang Anda terima yang tampak berasal dari Robinhood (dan mungkin memang berasal dari sistem email mereka) adalah upaya phishing," tulisnya. Mengutip utas Sabbah, Schwartz menambahkan, "Ini cukup licik."
Pada April 2025, Nick Johnson, Lead Developer Ethereum Name Service, mendokumentasikan eksploitasi yang hampir identik yang melibatkan email yang tampak dikirim dari Google sendiri.
Para penyerang menggunakan serangkaian trik serupa untuk menggunakan infrastruktur Google sendiri guna mengirimkan email phishing yang ditandatangani DKIM dari [email protected].
Pelajaran saat itu adalah pelajaran sekarang: waspadai mengklik tautan apa pun di email mana pun, tidak peduli seberapa autentik tampilannya.
Saran anti-phishing tradisional memberi tahu pengguna untuk memeriksa domain pengirim dan mencari kegagalan autentikasi. Tidak ada yang membantu di sini. Domain tampak asli. Tanda tangan tampak asli. Hanya niatnya yang kriminal.
Panduan penipuan Robinhood sendiri meminta pelanggan untuk memverifikasi domain email pengirim dan mencantumkan @robinhood.com sebagai contoh yang autentik.
Protos menghubungi Robinhood untuk komentar tetapi tidak menerima balasan sebelum waktu publikasi. Dalam perdagangan Nasdaq hari ini, saham biasa Robinhood dibuka datar untuk perdagangan relatif terhadap harga penutupan Jumat.
Punya tips? Kirimkan email kepada kami dengan aman melalui Protos Leaks. Untuk berita yang lebih informatif, ikuti kami di X, Bluesky, dan Google News, atau berlangganan saluran YouTube kami.
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
