David Schwartz, CTO emerito di Ripple, ha pubblicato un avviso su X, informando gli utenti che una campagna di phishing aveva inviato falsi avvisi di sicurezza che sembravano provenire dall'infrastruttura di posta elettronica di Robinhood.
Robinhood ha successivamente confermato l'accaduto, attribuendolo a un abuso della procedura di creazione degli account piuttosto che a una violazione dei suoi sistemi.
Che aspetto aveva l'email di phishing e come è riuscita a passare
Secondo Schwartz, la falsa email, il cui oggetto era "Il tuo ultimo accesso a Robinhood", affermava che era stato effettuato un tentativo di accesso non riconosciuto su un dispositivo "iPhone 17 Pro" in un orario specificato e che il numero di telefono associato all'account, che terminava con "87", sarebbe stato aggiornato a breve.
In basso era presente un pulsante "Rivedi attività ora", insieme a un avviso che una volta confermate le modifiche, queste non potevano essere annullate: un linguaggio standard volto a generare panico, studiato per indurre le persone a cliccare senza riflettere.
Schwartz ha affermato di non essere certo dei meccanismi esatti, ma di credere, in base a una rapida analisi, che le email "siano state in qualche modo iniettate nell'infrastruttura di posta elettronica di Robinhood a un certo punto".
Questo è importante perché i filtri utilizzati dalla maggior parte dei provider di posta elettronica verificano se un messaggio proviene effettivamente dal dominio dichiarato. Se il percorso di invio sembra legittimo, questi controlli hanno esito positivo, ed è così che il messaggio fraudolento è arrivato nella casella di posta di Schwartz con un aspetto identico a quello autentico.
L'account di supporto di Robinhood ha successivamente confermato che "alcuni clienti hanno ricevuto un'e-mail falsificata da [email protected]", aggiungendo che l'attacco ha sfruttato il flusso di creazione degli account e che nessun sistema è stato violato, nessuna informazione personale è stata esposta e nessun fondo è stato toccato.
Le indicazioni fornite dall'azienda erano di eliminare l'email, non cliccare su nulla e, in caso di dubbi, contattare Robinhood tramite l'app.
Uno schema che continua a ripetersi
Le reazioni a X sono arrivate rapidamente: un utente si è chiesto come fosse possibile che la casella di posta elettronica ufficiale di un'azienda delle dimensioni di Robinhood fosse stata compromessa, mentre un altro, Demosthenes, ha fatto notare che le email fraudolente tendono a moltiplicarsi durante i periodi di instabilità del mercato.
Dpac, sviluppatore di Web3, ha affermato di aver ricevuto due giorni prima un'email di phishing simile da parte di malintenzionati che si spacciavano per XRP Cafe e ha segnalato un'ondata separata che stava colpendo X stesso, con account compromessi che inviavano link dannosi tramite messaggi diretti e numerose segnalazioni di portafogli svuotati.
Nessuno di questi episodi si verifica isolatamente: a gennaio, gli utenti di Ledger sono stati colpiti da email di phishing in seguito a una violazione dei dati presso Global-e, partner di terze parti per l'e-commerce, che ha esposto i loro contatti e i dettagli degli ordini. I truffatori hanno poi inviato false comunicazioni di fusione chiedendo loro di inserire le frasi di recupero del portafoglio su un sito web fasullo.
Inoltre, un rapporto di Scam Sniffer di febbraio ha affermato che le perdite dovute al phishing sono aumentate del 207% rispetto a dicembre, costando alle vittime 6,27 milioni di dollari in 4.741 casi, poiché gli aggressori hanno utilizzato l'avvelenamento del portafoglio e le approvazioni fraudolente per indurre gli utenti a cedere l'accesso ai propri fondi.
Il mese successivo, l'FBI ha avvertito gli utenti di Tron della presenza di token falsi che impersonavano l'agenzia e indirizzavano le persone verso un sito creato per rubare le credenziali dei portafogli digitali.
L'articolo "David Schwartz di Ripple mette in guardia contro una campagna di phishing che utilizza le email di Robinhood" è apparso per la prima volta su CryptoPotato .