ロビンフッドは、[email protected]から送信された不正なメールがフィッシングの試みであったことを認めた。同社は、攻撃者が顧客アカウントや社内システムを侵害することなく、アカウント作成フローを悪用したと述べた。
「Your recent login to Robinhood(ロビンフッドへの最近のログイン)」という件名の偽装メッセージについて、受信者に対し削除を促す内容だった。顧客の残高や個人情報は影響を受けていないと、同社のヘルプアカウントがX上で明らかにした。
フィッシングメール、ロビンフッド認証をすり抜け
ロビンフッドの顧客の1人が生データの.emlファイルを分析した結果、このメールはSPF、DKIM、DMARCの各認証を通過していたことが判明した。メールはロビンフッド自身のインフラから発信されていた。
攻撃者は正規メールの本文にHTMLを挿入した。この挿入部分には「活動を確認する」というボタンが埋め込まれており、googletagmanager.comを経由してtinzio.netというドメインにリダイレクトされる仕組みだった。
リップルのデビッド・シュワルツCTO名誉顧問も、このキャンペーンを指摘し、実際にメッセージがロビンフッドのメールシステムから送信されている可能性があると強調した。
「何が起きているのか正確には分からないが、(ざっと見た限りでは)これらのメールはロビンフッドの本来のメールインフラに何らかの形で挿入されたようだ」と同氏は警告した。
ロビンフッド(HOOD)は月曜日の午前、84.71ドル近辺で取引され、1.40%上昇した。しかし、日曜夜のフィッシング事件があったにもかかわらず、プレマーケットでは最大0.3%の下落を記録した。
ロビンフッド顧客が取るべき対応
ロビンフッド・ヘルプは、影響を受けた顧客に対し、リンクをクリックせずアプリまたはウェブサイトからサポートへ連絡するよう呼びかけた。
同ブローカーは、メールに反応した場合はパスワードの変更、2段階認証(2FA)の再設定、最近のデバイスアクティビティの確認を推奨した。
この事例は、認証基準をクリアしてもメール本文が悪意のある内容になり得る攻撃手法を示している。
ロビンフッドは、攻撃者がどのようにアカウント作成フローへアクセスしたかの詳細を明らかにしていない。また、他の顧客に同様のメッセージが届いたかどうかについても言及していない。
