أكدت روبنهود أن الرسائل الاحتيالية المرسلة من [email protected] كانت محاولة تصيد، وذكرت الشركة أن المهاجمين استغلوا عملية إنشاء الحسابات دون اختراق حسابات العملاء أو أنظمة الشركة.
طالبت الرسالة المزورة، التي كان موضوعها "تسجيل الدخول الأخير إلى روبنهود"، المستلمين بحذفها. صرّح حساب الدعم الخاص بالشركة على X أن أرصدة العملاء وبياناتهم الشخصية بقيت دون أي ضرر.
رسالة تصيد تتجاوز مصادقة روبنهود
ذكر أحد عملاء روبنهود الذي قام بتحليل ملف .eml الخام أن الرسالة نجحت في اجتياز اختبارات SPF وDKIM وDMARC. أُرسلت الرسالة من بنية روبنهود التحتية نفسها.
قام المهاجمون بحقن HTML في نص الرسالة الشرعية، حيث تم تضمين زر "مراجعة النشاط" الذي أعاد التوجيه إلى نطاق باسم tinzio.net عن طريق googletagmanager.com.
ذكر ديفيد شوارتز، المدير الفني الفخري في ريبل، أيضًا هذه الحملة، وأبرز أن الرسائل قد تأتي بالفعل من نظام البريد الإلكتروني الخاص بروبنهود.
حذر ديفيد شوارتز قائلاً إنه غير متأكد بالضبط مما يحدث، لكن يبدو (على الأقل من نظرة سريعة) أن هذه الرسائل تم حقنها بطريقة ما في بنية البريد الإلكتروني الداخلية لروبنهود في وقت ما.
تداول سهم روبنهود (HOOD) بالقرب من 84,71 $ صباح الإثنين، مرتفعًا بنسبة 1,40% خلال اليوم، ولكنه سجل خسائر ما قبل الافتتاح تصل إلى 0,3% رغم حادثة التصيد التي وقعت مساء الأحد.
ما الذي ينبغي على عملاء روبنهود فعله
نصحت خدمة دعم روبنهود العملاء المتأثرين بالتواصل مع الدعم عبر التطبيق أو الموقع الإلكتروني بدلاً من النقر على أي روابط.
شجعت الوساطة كل من تفاعل مع الرسالة على تغيير كلمات المرور، وتحديث خاصية المصادقة الثنائية (2FA)، ومراجعة أخر نشاط الأجهزة مؤخراً.
تشير النمطية إلى هجمات يتم فيها تمرير معايير المصادقة حتى مع تحول محتوى الرسالة ذاته إلى خبيث.
لم توضح منصة روبن هود كيف تمكن المهاجمون من الوصول إلى عملية إنشاء الحساب. كما لم تذكر ما إذا كان عملاء آخرون قد تلقوا رسائل مشابهة.
