Les clients de Robinhood ont reçu ce week-end des e-mails d'hameçonnage particulièrement convaincants. Les messages, qui semblaient provenir directement de l'entreprise, présentaient des en-têtes authentifiés, étaient correctement signés, incluaient une véritable adresse d'expéditeur, étaient envoyés depuis un serveur e-mail authentique et n'ont pas été interceptés par les filtres anti-spam.
Pire encore, l'e-mail provenant de [email protected] a même été automatiquement intégré par Gmail dans les mêmes fils de conversation que les alertes de sécurité légitimes et antérieures de Robinhood.
Les seuls éléments frauduleux de l'e-mail étaient des irrégularités techniques obscures et son contenu, un appel à l'action d'hameçonnage visant à collecter des informations de connexion.
Dans la nuit de dimanche, des hackers ont utilisé le propre pipeline de notifications de Robinhood pour mener leur attaque.
L'analyse de l'exploit est rapidement devenue virale sur les réseaux sociaux.
Les e-mails d'hameçonnage de Robinhood étaient « plutôt beaux »
Le chercheur en sécurité Abdel Sabbah a publié une analyse de l'événement, le qualifiant de « plutôt beau » avec une connotation sinistre. Malheureusement, il avait raison.
Pour concevoir l'attaque, le hacker a d'abord utilisé la « technique du point » de Gmail, une fonctionnalité Google bien connue par laquelle Gmail achemine [email protected], [email protected] et [email protected] vers la même boîte de réception.
Gmail, contrairement au reste d'Internet, ignore les points dans la partie de l'adresse avant le symbole @, de sorte que toutes ces variantes sont distribuées dans la même boîte de réception.
Parce que Robinhood, contrairement à Gmail, ne normalise pas les variantes avec points, un attaquant a utilisé une version modifiée par un « point » des e-mails légitimes des clients de Robinhood.
Ensuite, l'attaquant a défini le nom de l'appareil sur le nouveau compte comme un bloc de HTML brut. Lorsque l'e-mail d'« activité non reconnue » de Robinhood est généré, le modèle insère ce nom d'appareil sans le nettoyer, ce qui permet au HTML malveillant de s'exécuter.
Le résultat, selon les mots de Sabbah, ressemblait à « un vrai e-mail provenant de [email protected], DKIM pass, SPF pass, DMARC pass, avec un CTA d'hameçonnage ».
Ce CTA ou « appel à l'action » est bien sûr un faux e-mail d'alerte de sécurité contenant un hyperlien vers une page web contrôlée par l'attaquant qui collecte les identifiants de connexion et les codes d'authentification à deux facteurs.
L'objectif ultime, comme dans presque toutes les campagnes d'hameçonnage, était de voler l'argent des clients — dans ce cas, depuis leur compte Robinhood.
En savoir plus : Robinhood verse 605 M$ pour racheter la participation de Sam Bankman-Fried
Réfléchissez avant de cliquer sur un e-mail
De nombreux influenceurs crypto ont mis les gens en garde contre ces e-mails convaincants.
David Schwartz de Ripple a amplifié l'avertissement. « Tous les e-mails que vous recevez qui semblent provenir de Robinhood (et qui peuvent effectivement provenir de leur système de messagerie) sont des tentatives d'hameçonnage », a-t-il publié. Citant le fil de Sabbah, Schwartz a ajouté : « C'est assez sournois. »
En avril 2025, le développeur principal de l'Ethereum Name Service, Nick Johnson, a documenté un exploit presque identique impliquant des e-mails qui semblaient être envoyés par Google lui-même.
Les attaquants ont utilisé une série de techniques similaires pour exploiter la propre infrastructure de Google afin de distribuer des e-mails d'hameçonnage signés DKIM depuis [email protected].
La leçon d'alors est la leçon d'aujourd'hui : méfiez-vous de cliquer sur n'importe quel lien dans n'importe quel e-mail, quelle que soit son apparence d'authenticité.
Les conseils traditionnels anti-hameçonnage demandent aux utilisateurs de vérifier le domaine de l'expéditeur et de rechercher des échecs d'authentification. Rien de tout cela n'a été utile ici. Le domaine semblait réel. Les signatures semblaient réelles. Seule l'intention était criminelle.
Les propres recommandations anti-arnaque de Robinhood demandent aux clients de vérifier le domaine e-mail de l'expéditeur et citent @robinhood.com comme exemple authentique.
Protos a contacté Robinhood pour obtenir un commentaire, mais n'a pas reçu de réponse avant l'heure de publication. Dans les échanges sur le Nasdaq aujourd'hui, l'action ordinaire de Robinhood a ouvert en légère variation par rapport à la clôture de vendredi.
Un conseil à partager ? Envoyez-nous un e-mail en toute sécurité via Protos Leaks. Pour une information plus approfondie, suivez-nous sur X, Bluesky et Google News, ou abonnez-vous à notre chaîne YouTube.
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
