ثغرة في Gmail تسمح بعملية احتيال تصيدية على Robinhood، حيث يتم إرسال رسائل بريد إلكتروني تبدو أصلية وآمنة إلى صندوق البريد الوارد الحقيقي.

كيف وصلت تنبيهات تسجيل الدخول المزيفة إلى صناديق البريد الوارد الحقيقية وبدت شرعية

ظهرت حملة تصيد احتيالي تستهدف مستخدمي Robinhood بعد أن تمكن المهاجمون من إرسال رسائل بريد إلكتروني مقنعة لتنبيهات تسجيل الدخول بدت وكأنها واردة مباشرة من النظام الرسمي للمنصة.

حذرت الرسائل الإلكترونية من نشاط غير معروف على الجهاز وحثت المستلمين على النقر على زر "مراجعة النشاط الآن"، والذي أعاد توجيههم إلى صفحات تسجيل دخول احتيالية مصممة لسرقة بيانات اعتماد الحساب.

ما جعل الهجوم خادعًا بشكل خاص هو أن الرسائل اجتازت فحوصات مصادقة البريد الإلكتروني القياسية ووصلت إلى صناديق البريد الوارد كما لو كانت تنبيهات أمنية حقيقية.

ظهرت التقارير لأول مرة على منصات التواصل الاجتماعي حيث بدأ المستخدمون في مشاركة لقطات الشاشة والتساؤل عما إذا كان Robinhood نفسه قد تعرض للاختراق.

استُخدم سلوك استخدام اسم مستعار لنقطة Gmail لمحاكاة عناوين البريد الإلكتروني للضحايا

يقول باحثون أمنيون إن الحملة لم تنجم عن اختراق مباشر لـ Robinhood البنية التحتية، ولكن من خلال مزيج من سلوك البريد الإلكتروني ونقاط الضعف في عملية إنشاء الحساب.

يتعامل Gmail مع عناوين البريد الإلكتروني التي تحتوي على نقاط في اسم المستخدم على أنها متطابقة، مما يعني أن "[[email protected]](mailto:[email protected])" و"[[email protected]](mailto:[email protected])" يتم إرسالها إلى نفس صندوق الوارد.

استغل المهاجمون هذا الأمر عن طريق تسجيل حسابات Robinhood باستخدام اختلافات شبه متطابقة لعناوين البريد الإلكتروني للضحايا.

على الرغم من أن نظام الوساطة تعامل معهما كمستخدمين منفصلين، إلا أن Gmail قام بتوجيه الرسائل إلى الهدف الحقيقي.

سمح هذا للمحتالين بتفعيل رسائل بريد إلكتروني أمنية تلقائية من أنظمة Robinhood والتي وصلت في النهاية إلى صندوق بريد الضحية.

تم حقن كود خفي عبر حقول إعداد الحساب، كيف تمكن من تجاوز المرشحات؟

قال أليكس إيكلبيري، الباحث في مجال الأمن السيبراني والرئيس التنفيذي لشركة تقنية، إن العملية اعتمدت على "ثغرات خطيرة" في عملية التسجيل.

أفادت التقارير أن المهاجمين أدخلوا تعليمات مبنية على لغة HTML في حقول اختيارية مثل "اسم الجهاز" أثناء إنشاء الحساب.

لم يتم تنظيف هذه الحقول بشكل صحيح، مما سمح بتضمين محتوى ضار في قوالب البريد الإلكتروني الآلية.

نظرًا لأن الرسائل أُنشئت عبر خوادم البريد الإلكتروني الخاصة بـ Robinhood، فقد اجتازت بنجاح فحوصات SPF وDKIM وDMARC، والتي عادةً ما تكون يُستخدم للتحقق من صحة البريد الإلكتروني.

أوضح إيكلبيري،

"النتيجة هي بريد إلكتروني حقيقي من '[[email protected]](mailto:[email protected])' يجتاز اختبارات SPF وDKIM وDMARC. يبدو البريد شرعيًا تمامًا، ولكنه يحتوي الآن على نص تحذيري مزيف مُضاف وزر تصيد احتيالي فعال. يؤدي النقر على الزر إلى موقع تسجيل دخول مزيف."

لماذا كان من الصعب التمييز بين رسائل البريد الإلكتروني والتنبيهات الحقيقية

قلدت رسائل البريد الإلكتروني الاحتيالية إشعارات الأمان الرسمية بشكل كبير، بما في ذلك علامة Robinhood التجارية وملخصات نشاط تسجيل الدخول مثل نوع الجهاز ووقت الوصول.

نظرًا لأن رسائل البريد الإلكتروني نشأت من خلال بنية تحتية شرعية، فقد تم تجاهل مرشحات البريد العشوائي القياسية من غير المرجح أن يتم تصنيفها على أنها مشبوهة.

أعادت إحدى طرق الاحتيال توجيه المستخدمين إلى نطاق مزيف يشبه صفحة التحقق الأمني، حيث طُلب من الضحايا تأكيد تفاصيل الحساب ومعلومات محفظة العملات المشفرة.

بل إن بعض التعليمات حثت المستخدمين على تحويل الأموال إلى محافظ تم إنشاؤها حديثًا يتحكم بها المهاجمون.

خسائر قطاع العملات المشفرة تسلط الضوء على تزايد خطر الهندسة الاجتماعية

أفادت شركة الأمن Hacken أن عمليات التصيد الاحتيالي والهندسة الاجتماعية تسببت في خسائر بلغت حوالي 306 ملايين دولار خلال الربع الأول من عام 2026 وحده، مما يُظهر مدى استمرار هذه الأساليب وتكلفتها الباهظة في قطاع العملات المشفرة.

تندرج حادثة Robinhood ضمن هذا النمط الأوسع، حيث يعتمد المهاجمون بشكل متزايد على التلاعب بثقة المستخدمين بدلاً من اختراق التشفير أو البنية التحتية الأساسية.

خبراء يحذرون من استغلال الثقة في البريد الإلكتروني بدلاً من اختراق الأنظمة

كما أشار ديفيد شوارتز، كبير مسؤولي التكنولوجيا الفخري في شركة Ripple، إلى هذه الحملة، محذرًا المستخدمين من أن حتى رسائل البريد الإلكتروني التي تبدو وكأنها صادرة من أنظمة رسمية قد تكون خبيث.

«تحذير: أي رسائل بريد إلكتروني تتلقاها وتبدو وكأنها من Robinhood (وقد تكون في الواقع من نظام البريد الإلكتروني الخاص بهم) هي محاولات تصيد احتيالي.»

وأشار إلى أن رسائل البريد الإلكتروني عرضت تفاصيل تسجيل دخول واقعية ومعلومات عن الجهاز وتنبيهات أمنية، مما يجعل من الصعب التشكيك فيها من النظرة الأولى.

أوضح محلل الأمن عبد الصباح من شركة كوبي لو أن المهاجمين جمعوا بين التلاعب بعناوين جيميل وحقن كود HTML في حقول إعداد الحساب، مما سمح بعرض محتوى التصيد الاحتيالي داخل تنبيهات تبدو أصلية.

رد روبن هود: لم يحدث أي اختراق للنظام

أكدت روبن هود أن بعض المستخدمين تلقوا رسائل مزيفة رسائل بريد إلكتروني بعنوان "تسجيل دخولك الأخير إلى Robinhood" تشير إلى أن المشكلة ناتجة عن إساءة استخدام عملية إنشاء الحساب.

صرحت الشركة:

"تمت محاولة التصيد هذه نتيجة إساءة استخدام عملية إنشاء الحساب. لم يكن ذلك اختراقًا لأنظمتنا أو حسابات العملاء، ولم تتأثر المعلومات الشخصية أو الأموال."

ننصح المستخدمين الذين يتلقون رسائل مماثلة بحذفها، وتجنب النقر على الروابط، والتحقق من أي نشاط في الحساب مباشرةً من خلال التطبيق أو الموقع الإلكتروني الرسمي بدلاً من رسائل البريد الإلكتروني.