Robinhood istifadəçilərini aldadan qəliz fırıldaqçılıq emailləri: Nəyə görə təhlükəli ola bilər?

Bu həftə Robinhood istifadəçilərinə çox inandırıcı görünən fırıldaqçılıq emailləri gəldi. Mesajlar, Robinhood şirkətindən gələn kimi göstərilsə də, həqiqi göndərən ünvanından, doğrulanmış başlıqlarından, imzalanmış imzasından və spam filtrlərindən keçə bilməməsindən asılı olmayaraq, həqiqi görünürdülər. Hətta [email protected] ünvanından gələn email, Gmail-də Robinhood-un əvvəlki təhlükəsizlik xəbərləri ilə eyni söhbət xəttində göstərildi.

Yeganə fərqli tərəf isə emaillərin məzmunu və texniki qeyri-nizamlılıqları idi. Hackerlər, emaildəki linkə klikləməklə istifadəçilərin giriş məlumatlarını və iki faktorlu autentifikasiya kodlarını oğurlamağa çalışırdılar. Bu fırıldaqçılıq kampaniyası, istifadəçilərin Robinhood hesablarından pul oğurlamaq məqsədi daşıyırdı.

Fırıldaqçılar necə uğur qazandı?

Təhlükəsizlik tədqiqatçısı Abdel Sabbah bu hadisəni analiz edərək, hadisəni 'bir az gözəl' adlandırsa da, bu ifadə pis mənada idi. Hackerlər, əvvəlcə Gmail-in 'nokta trükü' adlı xüsusiyyətindən istifadə etdilər. Bu xüsusiyyətə görə, Gmail istifadəçilərin [email protected], [email protected] və [email protected] kimi müxtəlif ünvanlara gələn emailləri eyni inbox-a yönləndirir. Google, @ simvolundan əvvəlki hissədəki nöqtələri nəzərə almır, lakin Robinhood bu variantları normallaşdırmırdı.

Hackerlər, Robinhood-un istifadəçi emaillərinin 'nokta' ilə dəyişdirilmiş variantlarından istifadə edərək yeni bir hesab yaratdılar. Sonra, bu hesabın cihaz adını raw HTML blokuna dəyişdirdilər. Robinhood-un 'tanınmayan fəaliyyət' xəbərləri göndərildikdə, template bu cihaz adını sanitizasiya etmədən daxil edir və nəticədə zərərli HTML-i aktivləşdirirdi.

Sabbah-ın sözləri ilə desək, nəticə belə idi: '[email protected] ünvanından gələn, DKIM, SPF və DMARC doğrulamasından keçən, lakin fırıldaqçılıq məqsədli emaillər'. Bu emaillərdəki linklər isə istifadəçiləri hackerlər tərəfindən nəzarət edilən veb səhifəyə yönləndirərək, giriş məlumatlarını və iki faktorlu autentifikasiya kodlarını oğurlayırdı.

Oxşar hadisələrdən dərs çıxarmaq

2025-ci ilin aprel ayında Ethereum Name Service-in baş inkişafçısı Nick Johnson, Google-un özündən gələn kimi göstərilən emaillərlə bağlı demək olar ki, eyni bir sui-qəsdi sənədləşdirmişdi. Hackerlər, Google-un infrastrukturundan istifadə edərək, [email protected] ünvanından DKIM imzalı fırıldaqçılıq emailləri göndərmişdilər.

Bu hadisədən alınacaq əsas dərs isə belədir: hər hansı bir emaildəki linkə klikləməkdən əvvəl çox diqqətli olmaq lazımdır. Geleneksel anti-fırıldaq məsləhətlərinə görə, göndərən domenini yoxlamaq və doğrulama xətalarını axtarmaq lazımdır, lakin bu dəfə belə yollar kömək etmədi. Domen belə görünürdü ki, tamamilə leqitimit idi.

Təhlükəsizlik məsləhətləri

Kripto influencerləri və təhlükəsizlik mütəxəssisləri istifadəçilərə bu növ emaillərə qarşı diqqətli olmağı tövsiyə edirlər. Ripple-in texniki direktoru David Schwartz belə yazdı:

"Robinhood-dan gələn kimi göstərilən hər hansı bir email fırıldaqçılıq cəhdi ola bilər. Hətta onların öz email sistemindən gəlsə belə. Bu çox hiyləgər bir üsuldur."

Təhlükəsizlik mütəxəssisləri istifadəçilərə belə tövsiyələr verir:

• Emaillərdəki linklərə klikləməkdən əvvəl göndərən ünvanını və domenini çox diqqətlə yoxlayın;
• Emaildəki mətnin qrammatik səhvlərinə və qeyri-müəyyən ifadələrə diqqət edin;
• İki faktorlu autentifikasiya istifadə edin;
• Mümkün olduqda, emaildəki linklərə daxil olmaq əvəzinə, Robinhood-un rəsmi veb saytına girərək məlumatlarınızı yoxlayın;
• Qeyri-müəyyən və ya gözlənilməz emaillərdən şübhələnin və onlara cavab verməyin.

Bu növ fırıldaqçılıq kampaniyalarından qorunmaq üçün istifadəçilərin təhlükəsizlik tədbirlərinə ciddi şəkildə əməl etmələri vacibdir. Hər bir istifadəçinin diqqəti və tədbirli olması, potensial təhlükələrin qarşısını ala bilər.