היזהרו: מתקפת דיוג מתוחכמת נגד לקוחות רובין הוד

מתקפת דיוג מתוחכמת נגד רובין הוד: כך ניצלו האקרים את מערכת הדואר

לקוחות רובין הוד נתקלו בסוף השבוע האחרון בהודעות דיוג שנראו לגמרי אמינות. המיילים, שנשלחו לכאורה ממערכת החברה עצמה, כללו כותרות מאומתות, חתימות דיגיטליות תקפות, כתובת שולח אותנטית ובוצעו באמצעות שרתי דואר אותנטיים. אפילו גוגל מייל לא זיהה אותם כספאם והציג אותם בתוך שיחות קודמות של התראות אבטחה לגיטימיות מרובין הוד.

ההבדל היחיד בין ההודעות האמיתיות למזויפות היה הפרטים הטכניים הקטנים והתוכן עצמו – הקריאה לפעולה שהובילה לדף מזויף שנועד לגנוב פרטי כניסה ומידע דו-שלבי.

איך עבדה המתקפה?

חוקר האבטחה עבדל סבאח פרסם ניתוח מפורט של המתקפה וכינה אותה "קצת יפה" – בהקשר מרושע. האקרים ניצלו פרצה ידועה בגוגל מייל המכונה "טריק הנקודות": גוגל מתעלמת מנקודות בכתובת האימייל לפני הסימן @, כך שכל אחת מהכתובות [email protected], [email protected] ו[email protected] מגיעה לאותו תיבת דואר.

בניגוד לגוגל, רובין הוד לא מנרמלת כתובות כאלה, מה שאפשר לאקרים להשתמש בגרסה עם נקודות של כתובות הלקוחות הלגיטימיות. לאחר מכן, הם הגדירו את שם המכשיר בחשבון החדש כבלוק של HTML לא מטוהר. כאשר רובין הוד שלחה הודעת "פעילות לא מזוהה", התבנית הכניסה את שם המכשיר ללא ניקוי, מה שגרם להצגת ה-HTML הזדוני.

התוצאה הייתה מייל שנראה לגמרי כמו הודעה אמיתית מ[email protected], עם אישורי DKIM, SPF ו-DMARC תקפים, וכולל קריאה לפעולה מזויפת. הקישור בהודעה הוביל לדף מבוקר על ידי התוקפים שנועד לאסוף פרטי כניסה וקודי אימות דו-שלביים.

מטרת המתקפה: גניבת כספים

כמו רוב מתקפות הדיוג, המטרה הסופית הייתה גניבת כספים מחשבונות המשתמשים ברובין הוד. המומחים מזהירים כי מתקפות כאלו הופכות נפוצות יותר ויותר בעולם הקריפטו והפיננסים הדיגיטליים.

אזהרות ממומחים בתחום

מומחים רבים בתחום הקריפטו הזהירו מפני ההודעות המזויפות. דייוויד שוורץ, מוביל טכנולוגי בריפל, פרסם אזהרה חדה: "כל מייל שנראה כאילו הוא מגיע מרובין הוד – גם אם הוא נשלח ממערכת הדואר שלהם – הוא ניסיון דיוג. זה די מתוחכם".

ניק ג'ונסון, מפתח מוביל ב-Ethereum Name Service, חשף כבר באפריל 2025 מתקפה דומה שבה ניצלו האקרים את תשתית גוגל כדי לשלוח מיילים מזויפים מ[email protected]. המסר ברור: לעולם אל תלחצו על קישורים במיילים, גם אם הם נראים לגמרי אותנטיים.

איך להישאר מוגנים?

העצה המסורתית נגד דיוג – לבדוק את הדומיין ולהתריע על כשלים באימות – לא עזרה במקרה זה. כדי להימנע ממתקפות כאלו:

• אל תלחצו על קישורים במיילים, גם אם הם נראים לגיטימיים.
• בדקו את כתובת השולח באופן ידני, במיוחד אם מדובר בהודעות הקשורות לאבטחה או כספים.
• השתמשו באימות דו-שלבי עם אפליקציות ייעודיות ולא באמצעות הודעות טקסט.
• היו ערניים להודעות לא צפויות, במיוחד כאלה שדוחפות לפעולה מיידית.

"כל מייל שנראה כאילו הוא מגיע מרובין הוד – גם אם הוא נשלח ממערכת הדואר שלהם – הוא ניסיון דיוג. זה די מתוחכם."
דייוויד שוורץ, מוביל טכנולוגי בריפל

הפרצה הזו מדגישה את הצורך הגובר באמצעי הגנה מתקדמים נגד דיוג, במיוחד בעידן שבו מתקפות סייבר הופכות מתוחכמות יותר ויותר.