Phishing su Robinhood: come hacker sfruttano le email per rubare dati

Un attacco di phishing sofisticato e difficile da individuare

Gli utenti di Robinhood hanno ricevuto questo fine settimana email di phishing estremamente convincenti. I messaggi, che sembravano provenire direttamente dall’azienda, presentavano intestazioni autenticate, firme corrette, un indirizzo mittente genuino e venivano inviati da un server email autentico, senza essere bloccati dai filtri antispam.

La particolarità di questo attacco risiede nel fatto che l’email, inviata da [email protected], è riuscita a infiltrarsi automaticamente nelle conversazioni di Gmail insieme a precedenti avvisi di sicurezza legittimi di Robinhood. L’unico elemento fraudolento era rappresentato da irregolarità tecniche minori e dal contenuto stesso dell’email, che invitava gli utenti a fornire le proprie credenziali di accesso.

Come funziona l’exploit: il trucco dei punti in Gmail

Il ricercatore sulla sicurezza Abdel Sabbah ha analizzato l’attacco, definendolo “in un certo senso geniale”, ma con intenti sinistri. Per realizzare l’attacco, gli hacker hanno sfruttato una funzionalità di Gmail nota come “dot trick”.

Gmail, a differenza di altri servizi, ignora i punti presenti nella parte dell’indirizzo prima della @. Ad esempio, [email protected], [email protected] e [email protected] vengono tutti recapitati nella stessa casella di posta. Gli hacker hanno sfruttato questa peculiarità per creare un indirizzo email simile a quelli legittimi di Robinhood, modificando solo la presenza di punti.

Successivamente, hanno impostato il nome del dispositivo associato al nuovo account come un blocco di codice HTML grezzo. Quando Robinhood genera un’email di avviso per attività non riconosciuta, il modello inserisce il nome del dispositivo senza sanificarlo, rendendo visibile l’HTML malevolo.

Il risultato: un’email apparentemente perfetta

Il risultato, secondo Sabbah, è stato un’email che sembrava “reale al 100%”, con:

• Passaggio di autenticazione DKIM;
• Passaggio di autenticazione SPF;
• Passaggio di autenticazione DMARC;
• Un link di phishing che reindirizzava a una pagina controllata dagli attaccanti.

Questo link portava a una falsa pagina di sicurezza che chiedeva agli utenti di inserire le proprie credenziali di accesso e i codici di autenticazione a due fattori, con l’obiettivo finale di svuotare i loro conti Robinhood.

Un precedente pericoloso: lo stesso trucco usato contro Google

In aprile 2025, Nick Johnson, lead developer di Ethereum Name Service, aveva già documentato un attacco simile. Gli hacker avevano sfruttato le stesse tecniche per inviare email di phishing firmate DKIM da [email protected], utilizzando l’infrastruttura di Google stessa.

Come proteggersi: il consiglio degli esperti

Nonostante i controlli di autenticazione superati, gli esperti raccomandano di:

• Non cliccare su alcun link contenuto in email, anche se sembrano provenire da fonti affidabili;
• Verificare sempre il dominio del mittente e cercare eventuali irregolarità;
• Diffidare di email che richiedono l’inserimento immediato di credenziali o informazioni sensibili.

David Schwartz, CTO di Ripple, ha avvertito gli utenti:

“Qualsiasi email che sembra provenire da Robinhood, anche se inviata dal loro sistema, è un tentativo di phishing. È molto subdolo.”

Conclusioni: la sicurezza digitale richiede attenzione costante

Questo attacco dimostra quanto possano essere sofisticati i metodi di phishing moderni. Anche le email che superano tutti i controlli di autenticazione possono nascondere insidie. La regola d’oro rimane sempre la stessa: diffidare e verificare ogni comunicazione digitale che richiede azioni immediate.