Ripple-CTO David Schwartz warnt vor Phishing-Kampagne mit Robinhood-E-Mails
David Schwartz, ehemaliger CTO von Ripple, hat auf der Plattform X eine Warnung ausgesprochen. Er informierte die Nutzer über eine Phishing-Kampagne, bei der gefälschte Sicherheitswarnungen verschickt wurden, die scheinbar von Robinhoods eigener E-Mail-Infrastruktur stammten.
Robinhood hat den Vorfall inzwischen bestätigt und erklärt, dass es sich um einen Missbrauch des Account-Erstellungsprozesses handelte, ohne dass es zu einem Systembruch gekommen sei.
Wie die Phishing-E-Mail aussah und wie sie durchkam
Schwartz berichtete, dass die gefälschte E-Mail mit dem Betreff „Ihr letzter Login bei Robinhood“ einen nicht erkannten Login-Versuch auf einem „iPhone 17 Pro“ zu einer bestimmten Zeit behauptete. Zudem wurde angegeben, dass eine Telefonnummer mit der Endung „87“ bald aktualisiert würde.
Am Ende der E-Mail befand sich ein Button mit der Aufschrift „Aktivität jetzt überprüfen“ sowie eine Warnung, dass bestätigte Änderungen nicht rückgängig gemacht werden könnten. Diese Formulierungen sollen den Empfänger dazu bringen, unüberlegt zu handeln.
Schwartz äußerte, dass er sich über die genauen Mechanismen nicht sicher sei, jedoch vermute, dass die E-Mails irgendwie in Robinhoods tatsächliche E-Mail-Infrastruktur eingespeist wurden. Dies ist relevant, da die meisten E-Mail-Provider Filter verwenden, um zu überprüfen, ob eine Nachricht tatsächlich von der angegebenen Domain stammt. Wenn der Versandweg echt aussieht, passieren diese Prüfungen, und so landete der Betrug in Schwartz' Posteingang, als wäre es eine echte Nachricht.
Robinhoods Support-Konto bestätigte später, dass „einige Kunden eine gefälschte E-Mail von [email protected] erhalten haben“. Der Angriff nutzte den Account-Erstellungsprozess aus, ohne dass Systeme kompromittiert, persönliche Informationen offengelegt oder Gelder betroffen waren. Das Unternehmen riet den Kunden, die E-Mail zu löschen, nichts anzuklicken und bei Bedenken über die App Kontakt aufzunehmen.
Ein sich wiederholendes Muster
Die Reaktionen auf X ließen nicht lange auf sich warten. Ein Nutzer fragte, wie es möglich sei, dass ein Unternehmen von der Größe Robinhoods seine offizielle E-Mail kompromittiert sehen könnte. Ein anderer Nutzer, Demosthenes, bemerkte, dass Betrugsmails in unruhigen Marktphasen zunehmen.
Web3-Entwickler Dpac berichtete, zwei Tage zuvor eine ähnliche Phishing-E-Mail von Angreifern erhalten zu haben, die sich als XRP Cafe ausgaben. Zudem wies er auf eine separate Welle hin, die über X selbst lief, bei der gehackte Konten bösartige Links über Direktnachrichten verschickten und es Berichte über geleerte Wallets gab.
Diese Vorfälle stehen nicht isoliert. Im Januar wurden Ledger-Nutzer nach einem Datenleck bei einem Drittanbieter mit Phishing-E-Mails konfrontiert. Im Februar berichtete Scam Sniffer, dass die Verluste durch Phishing um 207% gestiegen seien, was Opfer $6,27 Millionen in 4.741 Fällen kostete. Im März warnte das FBI Tron-Nutzer vor gefälschten Token, die vorgaben, von der Behörde zu stammen, und auf eine Website verwiesen, die Wallet-Zugangsdaten sammelte.
