cybersécurité sécurité en ligne phishing Gmail arnaque crypto Robinhood arnaque en ligne sécurité email filtrage anti-spam authentification DKIM authentification SPF DMARC vol de données protection des comptes fausses alertes de sécurité

Des emails de phishing quasi indétectables

Les clients de Robinhood ont été la cible, ce week-end, d'emails de phishing particulièrement sophistiqués. Ces messages semblaient provenir directement de l'entreprise, affichant des en-têtes authentifiés, une signature valide, une adresse d'expéditeur légitime et un serveur email officiel. Pire encore, Gmail a automatiquement intégré ces emails frauduleux dans les fils de discussion des alertes de sécurité précédentes de Robinhood, les rendant encore plus crédibles.

La seule anomalie résidait dans des irrégularités techniques mineures et le contenu de l'email, qui incitait les victimes à cliquer sur un lien menant à une page de collecte de données.

Une attaque exploitant les failles de Gmail et Robinhood

Le chercheur en sécurité Abdel Sabbah a analysé cette attaque et l'a qualifiée de « plutôt belle » avec une connotation sinistre. Voici comment elle a été menée :

  • Le « Gmail dot trick » : Les pirates ont exploité une particularité de Gmail où les adresses comme [email protected], [email protected] ou [email protected] sont redirigées vers le même compte. Contrairement à Gmail, Robinhood ne normalise pas ces variantes, permettant aux attaquants d'utiliser une adresse email modifiée avec des points pour usurper des clients légitimes.
  • L'injection de HTML malveillant : Les pirates ont configuré le nom de l'appareil sur un nouveau compte avec du code HTML brut. Lorsque Robinhood envoie une alerte pour une activité non reconnue, le modèle insère ce nom sans le nettoyer, rendant le HTML malveillant visible dans l'email.
  • Un email parfaitement usurpé : Le résultat était un email semblant provenir de [email protected], avec une authentification DKIM, SPF et DMARC valide, incluant un appel à l'action frauduleux vers une page de phishing.

Ce faux email de sécurité contenait un lien vers une page contrôlée par les attaquants, conçue pour voler les identifiants de connexion et les codes d'authentification à deux facteurs. L'objectif final, comme dans la plupart des campagnes de phishing, était de vider les comptes des victimes.

Une méthode déjà utilisée contre Google

En avril 2025, Nick Johnson, développeur principal de l'Ethereum Name Service, avait documenté une attaque similaire. Des pirates avaient exploité des failles dans l'infrastructure de Google pour envoyer des emails de phishing signés DKIM depuis [email protected].

Comment se protéger ?

Malgré les apparences, ces emails frauduleux contiennent des indices techniques subtils. Voici les recommandations des experts :

  • Ne cliquez jamais sur un lien dans un email, même s'il semble authentique.
  • Vérifiez toujours l'adresse de l'expéditeur et recherchez des anomalies, comme des irrégularités dans les points ou les caractères spéciaux.
  • Activez l'authentification à deux facteurs pour renforcer la sécurité de votre compte.
  • Signalez les emails suspects à Robinhood ou à votre fournisseur de messagerie.

« Tout email semblant provenir de Robinhood, même envoyé via leur système, est une tentative de phishing. C'est assez sournois. » — David Schwartz, CTO de Ripple

Cette attaque rappelle que les cybercriminels exploitent les failles des systèmes de messagerie pour tromper même les utilisateurs les plus vigilants. La prudence reste la meilleure défense.

Source : Protos
Les Red Sox virent six entraîneurs après une victoire écrasante : une décision controversée
← Précédent

Les Red Sox virent six entraîneurs après une victoire écrasante : une...

 Steam Controller : une révolution dans le gaming PC ?
Suivant →

Steam Controller : une révolution dans le gaming PC ?