Vorsicht vor täuschend echten Phishing-Mails von Robinhood

Täuschend echte Phishing-Mails nutzen Robinhoods eigene Infrastruktur

Kunden der Handelsplattform Robinhood erhielten am vergangenen Wochenende besonders überzeugende Phishing-Mails. Die Nachrichten wirkten auf den ersten Blick authentisch: Sie zeigten validierte Header, korrekte Signaturen, eine echte Absenderadresse und wurden über einen legitimen E-Mail-Server versendet. Selbst Spamfilter erkannten sie nicht als Betrug. Noch beunruhigender war, dass die E-Mail von [email protected] in Gmail automatisch in bestehende Konversationen mit echten Robinhood-Sicherheitswarnungen einsortiert wurde.

Der einzige Hinweis auf den Betrug waren technische Unregelmäßigkeiten und der Inhalt der Nachricht – eine gefälschte Aufforderung zur Eingabe von Login-Daten. Bis Sonntagabend nutzten Hacker sogar Robinhoods eigenes Benachrichtigungssystem, um den Angriff auszuführen. Eine Analyse des Vorfalls verbreitete sich daraufhin viral in sozialen Medien.

„Kinda beautiful“ – ein gefährlicher Angriff

Der Sicherheitsforscher Abdel Sabbah analysierte den Vorfall und bezeichnete ihn als „kinda beautiful“ – mit düsterer Bedeutung. Um die Attacke zu ermöglichen, nutzte der Angreifer einen bekannten Google-Trick: die „Dot-Trick“-Methode. Gmail ignoriert Punkte in E-Mail-Adressen vor dem @-Zeichen, sodass [email protected], [email protected] und [email protected] alle in dasselbe Postfach gelangen. Während Gmail diese Varianten normalisiert, wertet Robinhood sie als unterschiedliche Adressen.

Der Angreifer registrierte eine E-Mail-Adresse, die einer Robinhood-Kundenadresse ähnelte, aber durch Punkte modifiziert war. Anschließend setzte er den Gerätenamen des neuen Kontos auf einen Block rohen HTML-Codes. Als Robinhood eine „unbekannte Aktivität“-Benachrichtigung generierte, fügte es diesen unsanitized HTML-Code ein – mit verheerenden Folgen.

Das Ergebnis: Eine E-Mail, die DKIM-, SPF- und DMARC-Prüfungen bestand und von [email protected] stammte. Der enthaltene Link führte jedoch zu einer gefälschten Webseite, die Login-Daten und Zwei-Faktor-Authentifizierungscodes abfing. Das Ziel war klar: den Zugriff auf Robinhood-Konten zu erlangen und Geld zu stehlen.

Vorwarnungen und ähnliche Angriffe

Verschiedene Krypto-Influencer warnten vor den täuschend echten E-Mails. David Schwartz, Chief Technology Officer bei Ripple, teilte die Warnung:

„Jede E-Mail, die angeblich von Robinhood stammt – und möglicherweise sogar von deren System versendet wurde – ist ein Phishing-Versuch.“

Bereits im April 2025 dokumentierte Nick Johnson, Lead Developer des Ethereum Name Service, einen fast identischen Angriff. Damals nutzten Betrüger Googles Infrastruktur, um DKIM-signierte Phishing-Mails von [email protected] zu versenden. Die Lektion bleibt dieselbe: Klicken Sie niemals auf Links in E-Mails, selbst wenn sie authentisch wirken.

Traditionelle Anti-Phishing-Maßnahmen wie die Überprüfung der Absenderdomain oder Authentifizierungsfehler halfen in diesem Fall nicht. Die Domain war korrekt, die E-Mail technisch legitim – und genau das macht den Angriff so gefährlich.

Wie Sie sich schützen können

• Direkt im Browser einloggen: Geben Sie die Robinhood-Website manuell ein, statt auf Links in E-Mails zu klicken.
• Zwei-Faktor-Authentifizierung aktivieren: Nutzen Sie eine Authenticator-App statt SMS, um zusätzliche Sicherheit zu gewährleisten.
• Absenderadresse prüfen: Achten Sie auf minimale Abweichungen wie zusätzliche Punkte in der E-Mail-Adresse.
• Ungewöhnliche Anfragen hinterfragen: Robinhood wird Sie niemals per E-Mail nach Ihren Login-Daten fragen.
• E-Mail-Header analysieren: Tools wie MXToolbox können helfen, die Authentizität einer E-Mail zu überprüfen.