Phishing a Robinhood explota el 'truco del punto' de Gmail y fallos de autenticación para robar credenciales

Se ha descubierto una nueva y sofisticada campaña de phishing dirigida a usuarios de la plataforma de criptomonedas Robinhood, que explota una combinación de la función nativa de 'alias con punto' de Gmail y debilidades en el flujo de creación de cuentas de la plataforma. Este ataque representa una evolución significativa en las tácticas de phishing, ya que evade las verificaciones tradicionales de autenticación de correo electrónico y entrega correos convincentes de robo de credenciales directamente en las bandejas de entrada de las víctimas.

El ataque comienza con la creación de una cuenta de Gmail que incluye un punto en el nombre de usuario, aprovechando el hecho de que Gmail ignora los puntos en las direcciones de correo electrónico. Por ejemplo, un atacante podría crear una cuenta como 'robinhood.soporte@gmail.com' mientras que el dominio real de Robinhood es 'robinhood.com'. Esto permite al atacante enviar correos electrónicos que parecen provenir de una dirección legítima relacionada con Robinhood.

Sin embargo, la verdadera sofisticación radica en cómo los atacantes explotan el proceso de creación de cuentas de Robinhood. Al aprovechar el hecho de que Robinhood no requiere verificación de correo electrónico durante la creación de cuentas, los atacantes pueden crear cuentas utilizando la dirección de correo electrónico de la víctima pero con una ligera variación (por ejemplo, agregando un punto). Esto les permite recibir correos de restablecimiento de contraseña y otras comunicaciones de Robinhood, que luego utilizan para elaborar correos de phishing convincentes.

La cadena de ataque funciona de la siguiente manera: El atacante crea una cuenta de Gmail que parece una dirección de soporte legítima de Robinhood. Luego utiliza esta cuenta para registrarse en Robinhood, aprovechando la falta de verificación de correo electrónico de la plataforma. Dado que Gmail ignora los puntos, cualquier correo electrónico enviado por Robinhood a la cuenta del atacante (por ejemplo, solicitudes de restablecimiento de contraseña) también se envía a la dirección de correo electrónico real de la víctima. El atacante luego envía correos de phishing desde su cuenta de Gmail, que pasan las verificaciones SPF, DKIM y DMARC porque se envían desde un servidor legítimo de Gmail.

David Schwartz, CTO Emérito de Ripple, ha emitido una advertencia pública sobre este ataque, enfatizando que evade las medidas de seguridad de correo electrónico tradicionales. 'Esto no es un simple intento de suplantación', declaró Schwartz. 'Los correos electrónicos están pasando todas las verificaciones de autenticación porque provienen de infraestructura legítima. Los usuarios deben ser extremadamente cautelosos.'

El impacto de esta campaña es potencialmente grave. Los usuarios de Robinhood que caigan víctimas de estos correos de phishing podrían ver comprometidas sus cuentas, lo que llevaría al robo de criptomonedas y otros activos. El ataque es particularmente peligroso porque explota la confianza en los protocolos de autenticación de correo electrónico y plataformas legítimas como Gmail.

Para los profesionales de ciberseguridad, este ataque resalta la necesidad de enfoques de seguridad multicapa que vayan más allá de la autenticación de correo electrónico. Las recomendaciones incluyen la implementación de verificación obligatoria de correo electrónico para la creación de cuentas, el uso de análisis de comportamiento para detectar patrones de inicio de sesión anómalos y la educación de los usuarios sobre los riesgos de los ataques basados en correo electrónico incluso de fuentes aparentemente legítimas.

Se recomienda a los usuarios que activen la autenticación de dos factores (2FA) en sus cuentas de Robinhood, eviten hacer clic en enlaces en correos electrónicos no solicitados y verifiquen cualquier comunicación sospechosa directamente a través de la plataforma de Robinhood o canales de soporte oficiales. Las organizaciones deben revisar sus políticas de seguridad de correo electrónico y considerar la implementación de sistemas avanzados de detección de amenazas que puedan identificar intentos de phishing incluso cuando pasen las verificaciones tradicionales.