Robinhood Üzerinden Phishing Saldırısı
Online ticaret platformu Robinhood’un hesap oluşturma süreci, kötü niyetli aktörler tarafından istismar edilerek, kullanıcıların meşru e-postalarına kopya phishing mesajları enjekte edildi. Bu durum, kullanıcıları hesaplarında şüpheli bir etkinlik olduğunu düşündürecek şekilde manipüle etti.
Saldırı Nasıl Çalışıyor?
Son zamanlarda, Robinhood kullanıcıları “Robinhood’da Yakın Zamanda Giriş Yaptınız” başlıklı e-postalar almaya başladılar. Bu e-postalarda “Hesabınıza Bağlı Tanınmayan Bir Cihaz Tespit Edildi” ifadesiyle birlikte anormal IP adresleri ve kısmi telefon numaraları yer aldı. Phishing e-postasında, “Tanımadığınız bir cihazdan girişim tespit ettik,” ifadesi yer alıyordu ve kullanıcıların hesap etkinliklerini hemen gözden geçirmeleri gerektiği belirtiliyordu.
E-postada bulunan “Etkinliği Gözden Geçir” butonu, robinhood[.]casevaultreview[.]com adresinde bir phishing sitesine yönlendirmekteydi. Bu site artık kapalı olmaktadır. Ancak, Reddit’teki ekran görüntüleri, bu sitenin Robinhood kimlik bilgilerini çalmaya yönelik kullanıldığını gösteriyor.
Bu e-postaların ikna edici olmasının sebepleri arasında, meşru Robinhood e-posta adresinden, yani [email protected]‘dan gönderilmiş olması ve SPF ve DKIM e-posta güvenlik kontrollerinden geçmesi bulunmaktadır.
Etkilenen Sistemler
Saldırı, Robinhood’un onboarding sürecinde bulunan bir açığı kullanarak gerçekleştirilmiştir. Kötü niyetli aktörler, yeni bir Robinhood hesabı kaydedildiğinde gönderilen otomatik e-posta içeriğine HTML kodu enjekte etmişlerdir. Bu e-posta, bir kullanıcı kaydının zamanını, IP adresini, cihaz bilgilerini ve tahmini konumunu içermektedir.
Bu saldırıda, tehdit aktörleri cihaz metadata alanlarını değiştirerek HTML kodunu içeren sahte mesajlar oluşturmuştur. Robinhood’un bu HTML içeriğini yeterince sanitize etmemesi, “Hesabınıza Bağlı Tanınmayan Bir Cihaz” mesajının görünmesine neden olmuştur. Saldırganlar, daha önceki veritabanı ihlallerinden bilinen müşteri e-posta adreslerini kullanarak hedef almaktadır. 2021 Kasım ayında Robinhood’un 7 milyon müşterisini etkileyen bir veri ihlali yaşanmış, sızan veriler daha sonra bir hacker forumunda satılmıştır.
Çözüm ve Korunma
Robinhood, olayın ardından yaptığı açıklamada, “Bazı müşterilere [email protected] adresinden ‘Robinhood’da Yakın Zamanda Giriş Yaptınız’ başlıklı sahte bir e-posta gönderildi,” diyerek durumu onaylamıştır. Şirket, bu phishing girişiminin hesap oluşturma akışının kötüye kullanılması yoluyla mümkün hale geldiğini belirtirken, sistemlerinin veya müşteri hesaplarının ihlal edilmediğini vurgulamıştır.
BleepingComputer, Robinhood’un bu açığı, daha önce kötüye kullanılan Device: alanını kaldırarak düzeltmiş olduğunu doğrulamıştır. Şirket, bu tür mesajları alan kullanıcıların e-postaları silmelerini ve hiçbir bağlantıya tıklamamaları gerektiğini önermektedir.
Sonuç
Eğer siz de Robinhood kullanıcısıysanız ve bu tür bir e-posta aldıysanız, hemen e-postayı silin ve hiçbir bağlantıya tıklamayın. Hesap güvenliğiniz için Robinhood’un sunduğu güvenlik önerilerini dikkate alın ve yazılım güncellemelerini düzenli olarak gerçekleştirin. Ayrıca, hesap aktivitelerinizi düzenli aralıklarla gözden geçirerek şüpheli aktiviteleri hemen bildirin.
