Обратный фишинг Robinhood: звонки, социальная инженерия и обход SPF/DKIM

Недавно выявленная фишинговая кампания нацелена на пользователей инвестиционной платформы Robinhood. Злоумышленники применяют изощрённые тактики обратного фишинга через телефонные звонки, уходя от классических схем с вредоносными ссылками и эксплуатируя доверие к голосовому общению в кризисных ситуациях.

Механика атаки: звонок вместо клика

Вместо того чтобы направлять жертву на подозрительный сайт, преступники создают ощущение срочности с помощью поддельных уведомлений о входе в систему. Сообщения содержат ложные имена устройств и временные метки, создавая впечатление несанкционированного доступа. Пользователя призывают немедленно позвонить для верификации учетной записи по номеру, который контролируют сами злоумышленники. Такой подход исключает необходимость кликать по ссылкам, традиционно вызывающим настороженность, и переносит взаимодействие в телефонный разговор, где с помощью социальной инженерии выманиваются учетные данные и одноразовые коды.

Обход защитных механизмов почты

Особую опасность представляет способность кампании доставлять вредоносные URL-адреса непосредственно в легитимные письма, отправленные с домена Robinhood. Злоумышленники манипулируют процессом создания учетной записи таким образом, что фишинговые атаки исходят от признанного отправителя noreply@robinhood.com. Это позволяет эффективно обходить проверки подлинности SPF и DKIM, так как письма формально являются подлинными с точки зрения почтовых протоколов безопасности.

Международный след и лингвистические маркеры

Анализ мошеннических схем выявил характерные детали. Номера телефонов, используемые злоумышленниками, часто содержат международные коды стран, не связанных с деятельностью Robinhood в США. Например, код +243 (Демократическая Республика Конго) вводит жертв в заблуждение, заставляя их верить, что они связываются с официальной службой поддержки в Соединенных Штатах.

В шаблонах фишинговых предупреждений обнаружены признаки, указывающие на связь с предыдущими волнами, зафиксированными с 2025 года:

  • Призывы к «Немедленным действиям»;
  • Просьбы ответить «Y» для активации ссылок;
  • Грамматические несоответствия и неестественные конструкции.

Почему обратный фишинг так опасен

Метод обратного звонка коварен тем, что обходит множество протоколов безопасности электронной почты и использует человеческий фактор во время воспринимаемого кризиса. Пользователь, встревоженный подозрительной активностью, склонен доверять голосовому взаимодействию, полагая, что разговор с «представителем поддержки» — самый надежный способ разрешить проблему. Это делает угрозу чрезвычайно сложной для противодействия стандартными техническими средствами.

Рекомендации по защите

Для противодействия подобным атакам командам безопасности необходимо расширять стратегии обнаружения. Ключевыми мерами становятся:

  • Мониторинг необычных исходящих вызовов с корпоративных устройств, особенно на международные номера, представляющие высокий риск;
  • Интеграция данных о звонках с существующей телеметрией фишинга для построения комплексной защиты.

Постоянный характер рисков подчеркивает важность надежного обучения пользователей и проактивных мер по сдерживанию потенциальных атак, нацеленных на конфиденциальную информацию.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: