Celah Pembuatan Akun Robinhood Disalahgunakan untuk Kirim Email Phishing

Proses pembuatan akun di platform perdagangan daring Robinhood dilaporkan telah dieksploitasi oleh aktor ancaman. Mereka menyuntikkan pesan phishing (pengelabuan) ke dalam email pendaftaran yang sah, menipu pengguna agar percaya bahwa akun mereka sedang mengalami aktivitas masuk (login) yang mencurigakan.

Mulai Minggu malam, sejumlah pelanggan Robinhood melaporkan menerima email bertajuk “Your recent login to Robinhood” (Aktivitas masuk terbaru Anda ke Robinhood). Email tersebut menyatakan bahwa ada “Perangkat Tidak Dikenal yang Ditautkan ke Akun Anda”, lengkap dengan alamat IP yang tidak biasa dan sebagian nomor telepon.

Di dalam email penipuan tersebut, terdapat tombol “Review Activity Now” (Tinjau Aktivitas Sekarang) yang mengarahkan korban ke situs phishing di robinhood[.]casevaultreview[.]com (saat ini situs tersebut sudah ditutup). Tangkapan layar dari pengguna Reddit mengindikasikan bahwa situs tersebut dirancang untuk mencuri kredensial masuk Robinhood.

Hal yang membuat email ini sangat meyakinkan dan berbahaya adalah karena pesan tersebut benar-benar dikirim dari alamat email resmi Robinhood ([email protected]) dan berhasil lolos dari pemeriksaan keamanan email standar seperti SPF dan DKIM.

Bagaimana Eksploitasi Ini Bekerja?

Penyerang tidak meretas sistem internal Robinhood, melainkan menyalahgunakan alur pendaftaran akun baru perusahaan (onboarding process).

Saat akun Robinhood baru didaftarkan, sistem secara otomatis mengirimkan email konfirmasi ke alamat terkait yang berisi waktu pendaftaran, alamat IP, informasi perangkat, dan perkiraan lokasi. Penyerang memanfaatkan celah ini dengan cara:

1. Injeksi HTML: Aktor ancaman memodifikasi bidang metadata perangkat mereka sendiri untuk memasukkan kode HTML arbitrer. Karena Robinhood tidak melakukan sanitasi data (data sanitization) dengan benar pada input ini, kode tersebut dieksekusi di dalam email dan dirender sebagai pesan peringatan keamanan palsu.
2. Pemanfaatan Data Bocor: Untuk menargetkan pelanggan nyata, penyerang kemungkinan besar menggunakan daftar alamat email yang diperoleh dari insiden kebocoran data Robinhood pada November 2021 (yang berdampak pada 7 juta pelanggan).
3. Trik Alias Gmail: Karena satu email biasanya hanya bisa mendaftar satu akun, penyerang menggunakan trik dot aliasing (alias titik) milik Gmail. Dengan menambahkan titik pada alamat email (misalnya, [email protected] menjadi [email protected]), sistem Robinhood membacanya sebagai pendaftaran baru, padahal Google tetap mengirimkannya ke kotak masuk tujuan yang sama.

Tanggapan dan Perbaikan Cepat Robinhood

Melalui pernyataan resmi di platform X, Robinhood mengonfirmasi insiden tersebut dan segera mengambil tindakan mitigasi.

“Upaya phishing ini dimungkinkan oleh penyalahgunaan alur pembuatan akun. Ini bukanlah pelanggaran terhadap sistem atau akun pelanggan kami, dan informasi pribadi serta dana tidak terdampak sama sekali,” tulis perwakilan Robinhood.

BleepingComputer telah mengonfirmasi bahwa Robinhood saat ini telah menambal celah tersebut dengan menghapus kolom “Device:” (Perangkat) yang sebelumnya dieksploitasi dari templat email pembuatan akun mereka.

Pihak Robinhood mengimbau kepada seluruh pengguna yang menerima pesan mencurigakan tersebut untuk segera menghapusnya dan tidak mengklik tautan apa pun yang tersemat di dalamnya.