Oplichting via nep-Robinhood-mails: zo herken je de valse e-mails

Geavanceerde phishingaanval misleidt zelfs experts

Robinhood-klanten ontvingen afgelopen weekend extreem geloofwaardige phishingmails die bijna niet van echte meldingen van het platform te onderscheiden waren. De e-mails kwamen zogenaamd van [email protected], hadden geldige authenticatieheaders (DKIM, SPF en DMARC), een legitiem afzenderadres en werden verzonden vanaf een authentieke e-mailserver. Zelfs Gmail plaatste de valse berichten automatisch in dezelfde gespreksthreads als eerdere, echte beveiligingswaarschuwingen van Robinhood.

De slimme truc achter de aanval

De hackers maakten gebruik van een Gmail ‘dot trick’ en een kwetsbaarheid in Robinhood’s e-mailnotificatiesysteem. Hierdoor konden ze een nep-e-mailadres creëren dat eruitzag als een legitiem Robinhood-adres, ondanks kleine aanpassingen zoals extra punten in de naam (bijv. [email protected]).

Vervolgens zetten ze de apparaatnaam in hun nepaccount op een blok ruwe HTML-code. Toen Robinhood een ‘onbekende activiteit’-melding genereerde, voegde het systeem deze HTML-code zonder controle in de e-mail. Het resultaat? Een bericht dat eruitzag als een 100% authentieke Robinhood-melding, inclusief phishinglink naar een nep-inlogpagina.

«Het is ‘een beetje mooi’, maar met een sinistere ondertoon», aldus beveiligingsonderzoeker Abdel Sabbah, die de aanval analyseerde. «De hackers hebben Google’s eigen infrastructuur misbruikt om een perfecte phishingmail te maken.»

Hoe de nepmails werkten

De valse e-mails bevatten een nep-beveiligingswaarschuwing met een link naar een nep-inlogpagina. Wie hierop klikte, gaf zijn inloggegevens en tweestapsverificatiecodes prijs aan de aanvallers. Het uiteindelijke doel: toegang tot Robinhood-accounts om geld te stelen.

Voorgaande voorbeelden tonen hetzelfde patroon

In april 2025 documenteerde Nick Johnson, lead developer van Ethereum Name Service, een vergelijkbare aanval waarbij hackers nepmails stuurden die leken te komen van [email protected]. Ook hier werden Google’s eigen authenticatiemechanismen misbruikt om de e-mails geloofwaardig te maken.

Experts waarschuwen: vertrouw geen enkel e-mail

Crypto-influencers en beveiligingsexperts roepen gebruikers op om nooit zomaar op links in e-mails te klikken, hoe authentiek ze ook lijken. David Schwartz, CTO van Ripple, waarschuwde:

«Elke e-mail die lijkt te komen van Robinhood – en mogelijk zelfs van hun eigen e-mailsysteem – is een phishingpoging. Het is ‘nogal sluw’.»

Traditionele tips zoals het controleren van het afzenderdomein of het zoeken naar authenticatiefouten hielpen in dit geval niet. De nepmails waren technisch perfect.

Hoe bescherm je jezelf tegen deze phishingaanval?

• Ga nooit rechtstreeks naar een website via een link in een e-mail. Typ het webadres zelf in de browser of gebruik een bladwijzer.
• Controleer altijd het echte afzenderadres door met je muis over de naam te gaan (zonder te klikken).
• Gebruik tweestapsverificatie (2FA), maar wees voorzichtig met SMS-gebaseerde 2FA. Een betere optie is een app zoals Google Authenticator of een fysieke beveiligingssleutel.
• Meld verdachte activiteit direct bij het officiële platform en wijzig je wachtwoorden.
• Gebruik een e-mailclient met geavanceerde spam- en phishingfilters, zoals Gmail of Outlook met extra beveiligingslagen.

Conclusie: wees altijd alert

Deze aanval toont aan dat zelfs de meest geavanceerde phishingmethoden kunnen slagen door gebruik te maken van legitieme infrastructuur. De boodschap is duidelijk: vertrouw geen enkel e-mail, hoe overtuigend het ook lijkt. Controleer altijd de bron en wees voorzichtig met het delen van persoonlijke gegevens.