säkerhet cybersäkerhet phishing aktiehandel nätfiske Robinhood mejlbedrägeri

Under helgen mottog kunder hos den populära aktiehandelsplattformen Robinhood mejl som såg ut att komma direkt från företaget. Meddelandena hade autentiserade rubriker, korrekt signerade avsändare, en äkta avsändaradress och skickades från en legitim mejlserver. De passerade dessutom spamfilter. Det enda som avslöjade bedrägeriet var innehållet: en länk som syftade till att stjäla inloggningsuppgifter.

Under söndagskvällen hade hackarna dessutom utnyttjat Robinhoods egna notifieringssystem för att genomföra attacken. En analys av säkerhetsluckan spreds snabbt på sociala medier.

En "vacker" men farlig attack

Säkerhetsforskaren Abdel Sabbah publicerade en analys av händelsen och beskrev attacken som "lite vacker" – med en skum underton. Tyvärr hade han rätt.

För att genomföra attacken utnyttjade hackaren en känd funktion i Gmail kallad "dot trick". Gmail ignorerar punkter i adressens första del före @-symbolen, vilket innebär att adresser som [email protected], [email protected] och [email protected] alla levereras till samma inkorg. Robinhood däremot normaliserar inte dessa varianter, vilket gjorde det möjligt för angriparen att använda en modifierad version av Robinhoods legitima kundmejladresser med punkter.

Angriparen skapade sedan ett nytt konto och satte enhetens namn till rå HTML-kod. När Robinhood genererade ett mejl om "okänd aktivitet" infogades denna enhetsnamn utan att rensas, vilket renderade den skadliga HTML-koden. Resultatet blev, enligt Sabbah, ett mejl som såg ut att komma från [email protected] med godkända DKIM, SPF och DMARC-signaturer – men med en bedräglig länk.

Denna länk ledde till en falsk säkerhetsvarning som bad användaren att ange sina inloggningsuppgifter och tvåfaktorsautentiseringskoder. Målet, precis som i de flesta phishingkampanjer, var att stjäla pengar från Robinhood-kundernas konton.

Lärdomar från tidigare attacker

Många kryptoinfluencers varnade för de övertygande mejlen. David Schwartz, ledande utvecklare på Ripple, delade varningen: "Alla mejl du får som verkar komma från Robinhood – och kanske till och med kommer från deras mejlsystem – är phishingförsök." Han citerade även Sabbahs analys och tillade: "Det är ganska listigt."

Redan i april 2025 dokumenterade Nick Johnson, huvudutvecklare för Ethereum Name Service, en nästan identisk attack där mejl såg ut att komma från Google självt. Angripare hade använt liknande metoder för att skicka DKIM-signerade phishingmejl från [email protected].

Lärdomen är densamma idag: var försiktig med alla länkar i mejl, oavsett hur autentiska de verkar. Traditionella råd som att kontrollera avsändarens domän eller leta efter autentiseringsfel hjälpte inte i detta fall.

Så skyddar du dig

  • Klicka aldrig på länkar i oväntade mejl, även om de ser officiella ut.
  • Besök alltid Robinhoods officiella webbplats direkt via din webbläsares adressfält eller bokmärke.
  • Använd tvåfaktorsautentisering, men var extra vaksam på mejl som ber om koder.
  • Om du är osäker, kontakta Robinhoods officiella support via deras verifierade kanaler.
Källa: Protos
Red Sox avskedar sex tränare direkt efter 17-1-seger – varför nu?
← Föregående

Red Sox avskedar sex tränare direkt efter 17-1-seger – varför nu?

 Steam Controller: En ny generation av spelkontroller för PC?
Nästa →

Steam Controller: En ny generation av spelkontroller för PC?