Se advierte a los usuarios de Robinhood sobre una nueva estafa de phishing que aprovecha la característica de «alias con puntos» de Gmail y fallas en el proceso de creación de cuentas de Robinhood para enviar correos electrónicos maliciosos.
El domingo, usuarios de Robinhood comenzaron a reportar en las redes sociales correos electrónicos que provenían del servidor de correo de la plataforma, advirtiendo de un inicio de sesión desde un dispositivo no reconocido, que enlazaba a sitios web de phishing en el botón «llamada a la acción».
Fuente: David Gobaud
Alex Eckelberry, investigador de ciberseguridad y CEO de una empresa de tecnología, dijo que la campaña de phishing no fue el resultado de un hackeo, sino que explotó una característica nativa de Gmail que ignora los puntos en una dirección de correo electrónico, así como un «par de agujeros terribles» en el proceso de configuración de cuentas de Robinhood.
Esto ocurre después de que la empresa de seguridad de blockchain Hacken informara a principios de este mes que los ataques de phishing y ingeniería social dominaron los ataques criptográficos en el primer trimestre de 2024, lo que resultó en pérdidas de 306 millones de dólares.
Fuente: Alex Eckelberry
Los estafadores crearon cuentas falsas en Robinhood
Eckelberry dijo que la estafa se basó en que los estafadores crearan una cuenta en Robinhood con una dirección de correo electrónico que imitaba muy de cerca la dirección de correo electrónico de su objetivo.
Por ejemplo, un usuario de Robinhood podría tener una dirección de correo electrónico como «jane.smith@gmail.com». El estafador crearía una nueva cuenta en Robinhood con una dirección de correo electrónico sin el punto en el medio, como «janesmith@gmail.com».
Si bien Robinhood trataría esas cuentas como completamente separadas, Gmail ignora los puntos en la parte del nombre de usuario de una dirección de correo electrónico. Esto significa que los estafadores podrían pedirle a Robinhood que enviara automáticamente correos electrónicos destinados a su cuenta falsa, pero que llegaran en su lugar a la bandeja de entrada de su objetivo.
Para obtener un enlace de phishing en el correo electrónico automatizado enviado cuando se crea una nueva cuenta en Robinhood, los estafadores agregarían instrucciones HTML en el campo opcional «nombre del dispositivo» en Robinhood, que Gmail trata como instrucciones de formato.
Fuente: Abdel
«El resultado es un correo electrónico real desde «noreply@robinhood.com» que pasa SPF, DKIM y DMARC. Parece completamente legítimo pero ahora contiene texto de advertencia falso inyectado y un botón de phishing funcional. Al hacer clic en el botón se lleva a un sitio de inicio de sesión falso», dijo Eckelberry.
El correo electrónico solo es peligroso si se agrega información
Visitar el sitio web de inicio de sesión falso por sí solo no es suficiente para que los piratas informáticos obtengan acceso a una cuenta, dijo Eckelberry, pero ingresar información sensible como contraseñas podría permitir a los actores malintencionados hacerlo.
La cuenta de soporte de Robinhood en X publicó un comunicado el lunes confirmando que algunos usuarios recibieron un correo electrónico falsificado desde «noreply@robinhood.com» con la línea de asunto «Su inicio de sesión reciente en Robinhood» y culpó del problema a un exploit del «flujo de creación de cuentas».
«Este intento de phishing fue posible gracias a un abuso del flujo de creación de cuentas. No fue una violación de nuestros sistemas o cuentas de clientes, y la información personal y los fondos no se vieron afectados», dijeron.
«Si recibió este correo electrónico, elimínelo y no haga clic en enlaces sospechosos. Si ha hecho clic en un enlace sospechoso o tiene alguna pregunta sobre su cuenta, contáctenos directamente dentro de la aplicación o sitio web de Robinhood.»
