تعرض عملاء منصة روبين هود هذا الأسبوع لرسائل تصيد احتيالي (Phishing) مقنعة جداً. هذه الرسائل، التي بدت وكأنها واردة مباشرة من الشركة، كانت تحتوي على ترويسات موثقة، موقعة بشكل صحيح، وتضمنت عنوان مرسل حقيقي، وأُرسلت من خادم بريد إلكتروني أصلي، ولم يتم اعتراضها بواسطة مرشحات البريد المزعج.
والأمر الأسوأ، أن البريد الإلكتروني القادم من [email protected] نجح في الحصول على طريق تلقائي من جيميل (Gmail) للدخول إلى نفس سلاسل المحادثات الخاصة بالتنبيهات الأمنية السابقة والحقيقية من روبين هود.
الأشياء الوحيدة المزيفة في البريد الإلكتروني كانت بعض المخالفات التقنية الغامضة والمحتوى نفسه، وهو دعوة لسرقة بيانات الدخول.
وبحلول ليلة الأحد، استخدم المخترقون نظام الإشعارات الخاص بمنصة روبين هود نفسه لتنفيذ هجومهم. وانتشر تحليل هذه العملية بشكل كبير على وسائل التواصل الاجتماعي بعد وقت قصير.
رسائل تصيد “جميلة نوعاً ما”
نشر باحث الأمن السيبراني عبد الصباح تحليلاً للحدث، واصفاً إياه بأنه “جميل نوعاً ما” بطريقة شريرة. وللأسف، كان محقاً.
لتنفيذ الهجوم، استخدم المخترق أولاً “خدعة النقطة” (dot trick) من جيميل، وهي ميزة معروفة في جوجل حيث يقوم جيميل بتوجيه البريد الإلكتروني من عناوين مثل [email protected] و [email protected] و [email protected] إلى نفس صندوق الوارد.
جيميل، على عكس بقية الإنترنت، يتجاهل النقاط في الجزء الذي يسبق علامة @ من العنوان، لذا فإن كل هذه الأشكال المختلفة تصل إلى نفس الصندوق. وبما أن روبين هود، على عكس جيميل، لا يقوم بتوحيد هذه الأشكال المختلفة، استخدم المخترق نسخة معدلة بنقطة من عناوين البريد الإلكتروني الحقيقية للعملاء.
بعد ذلك، قام المخترق بتعيين اسم الجهاز على الحساب الجديد ليكون كتلة من أكواد HTML الخام. وعندما يتم إنشاء بريد “نشاط غير معروف” من روبين هود، يقوم القالب بإدراج اسم الجهاز دون تنقيته، مما يؤدي إلى تنفيذ كود HTML الخبيث.
النتيجة، كما وصفها عبد الصباح، كانت “بريداً إلكترونياً حقيقياً من [email protected]، مع اجتياز فحص DKIM و SPF و DMARC، مع دعوة لسرقة البيانات”.
هذه الدعوة (CTA) هي بالطبع بريد إلكتروني مزيف للتنبيه الأمني يحتوي على رابط لصفحة ويب يسيطر عليها المخترق لجمع بيانات تسجيل الدخول ورموز المصادقة الثنائية (2FA).
الهدف النهائي، مثل كل حملات التصيد تقريباً، هو سرقة أموال العملاء – في هذه الحالة، من حساباتهم في روبين هود.
فكر قبل أن تنقر على أي بريد إلكتروني
حذر العديد من مؤثري العملات الرقمية الناس من هذه الرسائل المقنعة. وقام ديفيد شوارتز من شركة ريبل (Ripple) بنشر التحذير قائلاً: “أي رسائل بريد إلكتروني تصل إليك ويبدو أنها من روبين هود (وقد تكون في الواقع من نظام بريدهم الإلكتروني) هي محاولات تصيد”. وأضاف مقتبساً منشور عبد الصباح: “إنها خادعة جداً”.
في أبريل 2025، وثق نيك جونسون، المطور الرئيسي لخدمة إيثريوم نيم سيرفيس (ENS)، هجوماً مشابهاً تقريباً تضمن رسائل بريد إلكتروني بدت وكأنها مرسلة من جوجل نفسها. استخدم المخترقون سلسلة مشابهة من الحيل لاستخدام البنية التحتية لجوجل نفسها لإرسال رسائل تصيد موقعة بـ DKIM من عنوان [email protected].
الدرس المستفاد آنذاك هو نفسه الآن: احذر من النقر على أي رابط في أي بريد إلكتروني، بغض النظر عن مدى صحته. النصائح التقليدية لمكافحة التصيد تخبر المستخدمين بالتحقق من نطاق المرسل والبحث عن علامات فشل التوثيق. لكن لا شيء من هذا ساعد هنا. النطاق بدا حقيقياً. التواقيع بدت حقيقية. فقط القصد كان إجرامياً.
إرشادات روبين هود الخاصة لمكافحة الاحتيال تخبر العملاء بالتحقق من نطاق البريد الإلكتروني للمرسل وتذكر @robinhood.com كمثال صحيح.
تواصلت “بروتوس” مع روبين هود للتعليق لكنها لم تتلق رداً حتى وقت النشر. في تداولات بورصة ناسداك اليوم، افتتح سهم روبين هود العادي على استقرار مقارنة بإغلاق الجمعة.
الأسئلة الشائعة (FAQs)
- س: كيف تمكن المخترقون من جعل رسائل التصيد الاحتيالي تبدو حقيقية بهذا الشكل؟
ج: استغل المخترقون ثغرة في نظام روبين هود، حيث استخدموا “خدعة النقطة” في جيميل ونظام “اسم الجهاز” لجعل رسائلهم تمر عبر جميع فحوصات الأمان (DKIM, SPF, DMARC) وتبدو وكأنها مرسلة من روبين هود نفسها. - س: ما هو الهدف النهائي لهذه الرسائل الاحتيالية؟
ج: الهدف هو سرقة أموال المستخدمين من خلال خداعهم للنقر على رابط مزيف يؤدي إلى صفحة تسجيل دخول وهمية، تطلب منهم إدخال بيانات الدخول ورموز المصادقة الثنائية (2FA)، ليتمكن المخترقون من السيطرة على الحساب. - س: كيف يمكنني حماية نفسي من هذا النوع المتطور من الاحتيال؟
ج: القاعدة الذهبية هي عدم النقر على أي رابط في أي بريد إلكتروني، حتى لو بدا موثوقاً. بدلاً من ذلك، اذهب يدوياً إلى التطبيق الرسمي أو الموقع الإلكتروني لتدخل إلى حسابك. كن حذراً جداً من الرسائل التي تطلب منك معلومات حساسة فجأة.
