مهاجمان سایبری از نقصی در فرایند ساخت حساب کاربری رابین هود سوء استفاده کردند تا ایمیلهای فیشینگ را از مسیر واقعی این شرکت به صندوق ورودی کاربران برسانند. این پیامها هشدار ورود مشکوک را شبیه سازی می کردند و قربانی را به صفحه ای جعلی می بردند که برای سرقت نام کاربری و رمز عبور طراحی شده بود.
به گزارش تکنا، اهمیت حمله در این بود که ایمیلها از نشانی رسمی noreply @ robinhood. com ارسال می شدند و به همین دلیل آزمونهای امنیتی SPF و DKIM را پشت سر می گذاشتند. برای بسیاری از کاربران، عبور از این کنترلها پیام را معتبر جلوه می دهد، اما در این مورد بدنه ایمیل با محتوای فیشینگ دستکاری شده بود.
ضعف اصلی به فرایند ثبت نام و ایمیل تایید حساب مربوط می شد. هنگام ایجاد حساب جدید، رابین هود اطلاعاتی مانند زمان ثبت نام، IP، نوع دستگاه و موقعیت تقریبی را در پیام خودکار نمایش می داد. مهاجمان توانستند فیلد device metadata را تغییر دهند و کد HTML مخرب را در همان بخش تزریق کنند.
کد HTML تزریق شده در فیلد Device باعث می شد پیام عادی ساخت حساب، ظاهری شبیه هشدار امنیتی پیدا کند. در نتیجه کاربر با بخشی روبه رو می شد که از اتصال دستگاه ناشناس خبر می داد و او را برای بررسی فعالیت حساب به یک دکمه جعلی هدایت می کرد. همین طراحی روان شناختی، خطر کلیک را بالا می برد.
در مرحله بعد، مهاجمان برای رساندن پیامها به قربانیان از فهرستهای ایمیل استفاده کردند. برآوردهای فنی نشان می دهد این فهرستها احتمالا از رخدادهای افشای داده قبلی، از جمله حادثه نوامبر ۲۰۲۱ رابین هود، به دست آمده بودند. در آن رخداد اطلاعات میلیونها کاربر هدف دسترسی غیرمجاز قرار گرفته بود.
بخشی از حمله با رفتار dot aliasing در جیمیل هم تقویت شد. در این روش، افزودن نقطه به نشانی جیمیل مقصد را تغییر نمی دهد، اما می تواند برای ایجاد حسابهای ظاهرا متفاوت استفاده شود. مهاجمان با همین ترفند می توانستند نسخه های نقطه دار ایمیلهای واقعی را در فرایند ثبت نام وارد کنند و پیام را به قربانی اصلی برسانند.
رابین هود اعلام کرده این رخداد نفوذ به سامانه ها یا حسابهای مشتریان نبوده و اطلاعات شخصی و دارایی کاربران تحت تاثیر قرار نگرفته است. شرکت همچنین گفته نقص مورد سوء استفاده را برطرف کرده و صفحه فیشینگ مرتبط از دسترس خارج شده است. با این حال، ماهیت حمله نشان می دهد اعتماد به فرستنده رسمی به تنهایی کافی نیست.
برای کاربران، اقدام امن این است که روی پیوندهای داخل چنین ایمیلهایی کلیک نکنند و وضعیت حساب را فقط از داخل اپلیکیشن یا وب سایت رسمی بررسی کنند. رابین هود در راهنمای امنیتی خود تاکید می کند پشتیبانی هرگز رمز عبور یا کد ۲FA نمی خواهد. فعال سازی احراز هویت دومرحله ای و تغییر رمز پس از کلیک مشکوک ضروری است.
از نگاه امنیت سازمانی، این حمله نمونه روشنی از خطر ترکیب قالبهای ایمیلی خودکار با داده های پاکسازی نشده است. اگر ورودیهایی مانند نام دستگاه، مرورگر یا موقعیت بدون escape و اعتبارسنجی وارد قالب HTML شوند، حتی سامانه های معتبر هم به کانال توزیع فیشینگ تبدیل می شوند. بنابراین کنترل محتوا در ایمیلهای تراکنشی باید بخشی از مدل تهدید باشد.
منبع این خبر رسانه فناوری تکنا است. برای دیدن دیگر خبرها به تکنا مراجعه کنید.
| پیشنهاد ویژه : تعمیر کامپیوتر |
| پیشنهاد تکنا : خرید بلیط هواپیما فلای تودی |
منبع خبر سوء استفاده از dot aliasing در جیمیل حمله فیشینگ به کاربران رابین هود را گسترش داد پایگاه خبری تکنا به آدرس تکنا میباشد.
