В минувшие выходные пользователи торговой платформы Robinhood получили фишинговые письма, которые не смогла распознать ни одна система защиты. Сообщения выглядели как легитимные уведомления от компании: имели корректные заголовки, были подписаны DKIM, SPF и DMARC, а также отправлены с подлинного сервера [email protected]. Более того, Gmail автоматически поместил их в ту же цепочку переписки, что и настоящие уведомления Robinhood о безопасности.
Единственными признаками мошенничества стали незначительные технические несоответствия и содержащаяся в письме ссылка на поддельную страницу для ввода логина и пароля. К воскресенью хакеры использовали саму систему уведомлений Robinhood, чтобы распространить атаку. Анализ инцидента быстро стал вирусным в социальных сетях.
Почему фишинговые письма были такими убедительными
Эксперт по кибербезопасности Абдель Саббах опубликовал разбор атаки и назвал её «как бы красивой» — с намёком на изящную техническую реализацию. Злоумышленники использовали несколько уловок:
- «Трюк с точками» в Gmail: сервис игнорирует точки в части адреса до символа @. Например, [email protected] и [email protected] приходят в один и тот же ящик. Хакеры создали аккаунт с адресом, похожим на легитимный, но с точками, которые Gmail не учитывает.
- HTML-инъекция: мошенники указали в названии устройства блок нефильтрованного HTML-кода. Когда Robinhood отправляла уведомление о неопознанной активности, шаблон вставлял это название без санитизации, в результате чего в письме отображался вредоносный контент.
В итоге получатели видели письмо от [email protected] с прошедшими все проверки безопасности DKIM, SPF и DMARC, но содержащее фишинговую ссылку. Переход по ней вёл на поддельную страницу, где жертвы вводили данные для входа и двухфакторной аутентификации — таким образом хакеры получали доступ к аккаунтам и могли похитить деньги.
Предыдущие случаи и уроки для пользователей
В апреле 2025 года разработчик Ethereum Name Service Ник Джонсон задокументировал аналогичную атаку: мошенники отправляли фишинговые письма от имени Google, используя его же инфраструктуру. Тогда, как и сейчас, традиционные методы защиты — проверка домена отправителя и проверка подлинности писем — не сработали.
«Любое письмо, которое якобы пришло от Robinhood, даже если оно действительно отправлено их системой, является фишингом. Это очень коварно».
— Дэвид Шварц, технический директор Ripple
Эксперты призывают пользователей быть бдительными и не кликать по ссылкам в письмах, даже если они выглядят абсолютно легитимными. Проверка домена отправителя и наличие ошибок аутентификации в данном случае не помогут — мошенники используют легитимные каналы для рассылки вредоносного контента.
Похожие статьи
Трамповский семейный траст инвестировал в биткоин-акции в I квартале 2026 года
Bitcoin Magazine The Trump Family Trust Bought Bitcoin-Linked Stocks in First Quarter: Filing Donald Trump’s family trust bought shares in several bit...
Крипто больше не единая индустрия: почему это может быть позитивным сигналом
Crypto can feel bullish and bearish simultaneously because its major sectors have stopped moving together. Bitcoin collects institutional ETF flows wh...
THORChain пострадал от атаки на $10 млн, утверждает крипто-аналитик
Cross-chain liquidity protocol THORChain has reportedly been exploited for $10 million worth of crypto. That’s according to investigator ZachXBT, who...
Трамповский семейный траст купил акции Coinbase и других крипто-компаний в I квартале 2026 года
US President Donald Trump's family trust executed hundreds of millions of dollars in financial transactions during the first quarter of 2026, includin...
Фареж заявил, что £5 млн от криптомиллиардера — награда за 27 лет борьбы за Brexit
Nigel Farage now claims that the £5 million ($6.7 million) “gift” he received from billionaire crypto entrepreneur Christopher Harborne was a “reward”...
Эксперт Ripple предупреждает о росте мошеннических аirdrop на XRPL: как не потерять средства
The XRP Ledger (XRPL) is seeing a drastic rise in fraud attempts targeting its users as the network draws more institutional activity, higher transact...
Мьянма предложила смертную казнь за насильственное вовлечение в крипто-мошенничество
Myanmar has proposed introducing the death penalty for violent criminals who coerce victims into crypto scam center operations. Singapore news outlet...
Закон CLARITY: почему рынок недооценивает его влияние на криптовалюты
The Senate Banking Committee meets in executive session later today, May 14, to consider the CLARITY Act, a bill that already cleared the House 294-13...