Lỗ hổng Robinhood bị khai thác để phát tán email lừa đảo tinh vi

Nền tảng đầu tư và giao dịch chứng khoán Robinhood vừa xác nhận rằng các tội phạm mạng đã khai thác một lỗ hổng trong quy trình tạo tài khoản để gửi đi các email lừa đảo (phishing) có vẻ ngoài rất chân thực.

Vào cuối tuần qua, nhiều người dùng Robinhood đã báo cáo nhận được các email đáng ngờ. Sau khi phân tích, các chuyên gia an ninh phát hiện đây là một phần của chiến dịch lừa đảo quy mô lớn.

Robinhood Phishing

Theo thông tin từ công ty, các email này được gửi từ địa chỉ [email protected] với tiêu đề "Your recent login to Robinhood" (Đăng nhập gần đây của bạn vào Robinhood).

Robinhood giải thích rằng: "Cuộc cố gắng lừa đảo này có thể thực hiện được do lạm dụng quy trình tạo tài khoản. Đây không phải là sự vi phạm dữ liệu (breach) đối với hệ thống hay tài khoản khách hàng của chúng tôi, và thông tin cá nhân cũng như tiền của khách hàng không bị ảnh hưởng."

Kỹ thuật "Dot Trick" và tiêm mã HTML

Các chuyên gia phân tích chỉ ra rằng kẻ tấn công đã tạo ra các tài khoản Robinhood mới bằng cách sử dụng các phiên bản đã bị chỉnh sửa của địa chỉ Gmail hiện có thông qua kỹ thuật gọi là "dot trick" (thủ thuật chấm).

Cụ thể, chúng lợi dụng đặc điểm của Gmail là bỏ qua các dấu chấm (.) được chèn vào hoặc loại bỏ khỏi tên người dùng, trong khi Robinhood lại coi mỗi biến thể là một địa chỉ riêng biệt. Điều này cho phép tin tặc tạo một tài khoản mới mà thông báo của nó sẽ được chuyển đến tài khoản Gmail hiện có của nạn nhân.

Trong quá trình đăng ký, kẻ tấn công đã tiêm mã HTML độc hại chứa các liên kết lừa đảo vào trường tên thiết bị. Hành động này đã kích hoạt email thông báo "đăng nhập gần đây" hợp lệ từ hệ thống Robinhood. Tuy nhiên, do hệ thống không làm sạch (sanitize) mã HTML đầu vào, email gửi đi đã hiển thị các liên kết độc hại có thể nhấp vào được.

AI Phishing

Điểm nguy hiểm nhất là các email này đã vượt qua tất cả các kiểm tra xác thực (như SPF, DKIM) vì chúng thực sự xuất phát từ hệ thống máy chủ chính thức của Robinhood. Điều này khiến chúng cực kỳ thuyết phục và khó bị phát hiện bởi bộ lọc thư rác hay người dùng thông thường.

Dấu hiệu từ các vụ lộ dữ liệu trước đó

Robinhood từng gặp sự cố lộ dữ liệu lớn vào năm 2021, khi tin tặc đánh cắp hàng triệu tên và địa chỉ email. Cuộc tấn công lừa đảo lần này có thể đã tận dụng danh sách email bị đánh cắp từ thời điểm đó, hoặc kẻ tấn công có thể đã sử dụng các địa chỉ Gmail được thu thập từ bên ngoài hoặc đoán được.

Vụ việc một lần nữa nhắc nhở người dùng về sự cần thiết phải thận trọng ngay cả khi nhận được email từ các nguồn có vẻ uy tín. Người dùng nên luôn kiểm tra kỹ URL trước khi nhấp vào bất kỳ liên kết nào yêu cầu thông tin đăng nhập hoặc tài chính.