La plateforme de courtage en ligne Robinhood a récemment été cible d’une exploitation liée à son processus de création de comptes. Des acteurs malveillants ont réussi à injecter des messages de phishing dans des courriels authentiques, trompant ainsi les utilisateurs sur des activités suspectes sur leurs comptes.
Les clients de Robinhood ont commencé à recevoir des courriels intitulés « Votre récente connexion à Robinhood », indiquant qu’un « Dispositif Non Reconnu Lié à Votre Compte » avait été détecté, mentionnant des adresses IP inhabituelles et des numéros de téléphone partiels.
Le contenu du courriel de phishing déclarait : « Nous avons détecté une tentative de connexion à partir d’un appareil qui n’est pas reconnu. Si cela ne vous concerne pas, veuillez consulter votre activité de compte immédiatement pour sécuriser votre compte. »
Un bouton « Consulter l’activité maintenant » redirigeait vers un site de phishing à robinhood[.]casevaultreview[.]com, qui n’est plus accessible. Des captures d’écran sur Reddit suggèrent que ce site était destiné à voler les identifiants des utilisateurs de Robinhood.
La crédibilité des courriels était renforcée par le fait qu’ils étaient envoyés à partir de l’adresse officielle noreply@robinhood.com et qu’ils dépassaient les vérifications de sécurité SPF et DKIM.
Exploitation d’un défaut dans le processus d’intégration
Les attaquants ont exploité une faille dans le processus d’intégration de Robinhood pour générer des courriels de phishing. Un défaut a permis d’injecter du HTML dans les courriels de confirmation de compte.
Lorsque qu’un nouvel utilisateur s’inscrit, Robinhood envoie automatiquement un courriel « Votre récente connexion à Robinhood » contenant des informations telles que l’heure d’inscription, l’adresse IP et le lieu approximatif.
Pour insérer le message de phishing, les attaquants ont modifié leurs champs de métadonnées de l’appareil afin d’incorporer du HTML, sans que Robinhood ne procède à une validation adéquate.
Ce HTML a ensuite été injecté dans le champ Device: du courriel de création de compte, générant un message trompeur de « Dispositif Non Reconnu Lié à Votre Compte. »
Pour cibler les clients de Robinhood, les attaquants ont probablement utilisé des listes d’adresses électroniques d’utilisateurs obtenues lors de précédentes violations de données. En novembre 2021, Robinhood a été victime d’une violation touchant 7 millions de clients, avec des données mises en vente sur un forum de hackers.
Les attaquants ont également profité du comportement d’aliasing de Gmail, qui permet d’ajouter des points à une adresse sans en changer la destination, leur permettant ainsi de s’inscrire sous différentes variations d’adresses tout en atteignant les destinataires visés.
Les récipiendaires ont ainsi reçu ce qui semblait être une alerte de connexion standard, enrichie d’une section de phishing avertissant d’une « activité non reconnue » et les incitant à vérifier leur compte.
Robinhood a confirmé cet incident dans un communiqué sur X, affirmant que « dimanche soir, certains clients ont reçu un courriel falsifié de noreply@robinhood.com avec pour sujet ‘Votre récente connexion à Robinhood.’ Ce phishing a été rendu possible par un abus du flux de création de compte. Il ne s’agit pas d’une violation de nos systèmes ou des comptes clients, et aucune information personnelle ou fonds n’ont été affectés. »
BleepingComputer a vérifié que Robinhood a corrigé cette faille en supprimant le champ Device: précédemment exploité de ses courriels de création de compte.
Robinhood conseille à ses utilisateurs ayant reçu ce message de le supprimer et de ne pas cliquer sur les liens.