A Robinhood tornou-se o centro de uma nova campanha de phishing que aproveitou o próprio sistema da empresa para enviar mensagens fraudulentas. Através de uma falha no processo de criação de contas, piratas informáticos conseguiram manipular as comunicações automáticas geradas pela plataforma, enviando mensagens perigosas que pareciam totalmente legítimas por virem do endereço oficial da Robinhood.
Como o ataque manipulava o sistema da plataforma
O esquema centrava-se na forma como a corretora financeira geria os novos registos. Sempre que uma nova conta era aberta, o sistema enviava um aviso automático referente ao acesso recente, detalhando a hora, o endereço IP e o dispositivo utilizado. No entanto, os cibercriminosos perceberam que o campo destinado ao nome do equipamento não possuía filtros adequados.
Ao inserir código HTML malicioso nos metadados do equipamento durante o registo, os atacantes forçavam o sistema a gerar um alerta falso. Quando a vítima abria a mensagem, o cliente de correio eletrónico interpretava o código, apresentando um aviso alarmante que indicava a associação de um novo dispositivo à conta, acompanhado de hiperligações fraudulentas. Como a mensagem tinha origem nos servidores reais da empresa, conseguia contornar facilmente os filtros anti-spam e as proteções normais de email.
Fugas de informação antigas facilitaram o esquema
Para garantir que as comunicações chegavam a alvos válidos, os responsáveis por esta campanha recorreram a bases de dados expostas em incidentes passados. Uma das fontes principais terá sido a quebra de segurança de 2021, que expôs detalhes de cerca de sete milhões de utilizadores e que continua a circular em fóruns ilícitos. Adicionalmente, tiraram partido de uma particularidade do Gmail que ignora a presença de pontos nos endereços, permitindo-lhes criar múltiplas variações do mesmo contacto para assegurar a entrega.
A empresa já veio a público esclarecer a situação, garantindo que os seus sistemas internos e os fundos dos clientes permaneceram seguros, tratando-se apenas de um abuso da ferramenta de registo. Como medida de mitigação, a plataforma removeu a indicação do dispositivo dos avisos automáticos de confirmação, bloqueando a injeção do código nocivo. Recomenda-se agora a todos os utilizadores que apaguem comunicações suspeitas com este formato e evitem clicar em qualquer ligação externa.
Nenhum comentário
Seja o primeiro!