Pengguna Grubhub dilaporkan menerima email penipuan yang mengatasnamakan perusahaan layanan pesan-antar makanan tersebut. Pesan palsu itu menjanjikan pengembalian Bitcoin hingga sepuluh kali lipat bagi siapa pun yang mengirimkan aset kripto ke alamat dompet tertentu.
Email tersebut mengklaim sebagai bagian dari program bertajuk Holiday Crypto Promotion dan dikirim dari alamat dengan domain b.grubhub.com. . Domain ini diketahui merupakan subdomain sah yang biasa digunakan Grubhub untuk berkomunikasi dengan mitra merchant dan restoran, sehingga membuat pesan terlihat meyakinkan.
Dalam isi email, pelaku menyebutkan adanya batas waktu singkat untuk mengikuti promosi. Korban dijanjikan pengembalian dana dalam jumlah besar hanya dengan mengirimkan Bitcoin ke alamat yang tertera. Beberapa pesan bahkan menyertakan nama penerima, menambah kesan bahwa email tersebut resmi dan ditujukan secara personal.
Sejumlah email penipuan terdeteksi berasal dari alamat seperti merry-christmast@b.grubhub.com dan crypto-promotion@b.grubhub.com sejak 24 Desember. Pola ini menunjukkan upaya terorganisir untuk memanfaatkan momen liburan dan meningkatkan peluang korban tergiur.
Skema ini merupakan bentuk klasik penipuan kripto, di mana korban dibujuk untuk mengirim dana dengan janji imbal hasil besar yang pada kenyataannya tidak pernah ada. Setelah dana dikirim, aset tersebut langsung dikuasai pelaku dan tidak dapat dikembalikan.
Meski sebagian pengguna berspekulasi bahwa insiden ini mungkin berkaitan dengan pengambilalihan DNS yang memungkinkan email lolos dari pemeriksaan keaslian, Grubhub belum memberikan penjelasan teknis mengenai penyebab pasti kejadian tersebut.
Dalam pernyataan resminya, pihak Grubhub menyatakan telah mengetahui adanya pesan tidak sah yang tampak dikirim atas nama perusahaan kepada sebagian mitra merchant. Perusahaan mengklaim telah mengisolasi masalah tersebut dan tengah mengambil langkah-langkah pencegahan agar kejadian serupa tidak terulang.
Insiden ini menambah daftar masalah keamanan yang dihadapi Grubhub sepanjang tahun. Sebelumnya, perusahaan juga mengungkap adanya akses tidak sah terhadap data pribadi pelanggan, merchant, dan pengemudi, yang berasal dari akun pihak ketiga penyedia layanan dukungan.