Robinhood abusada para envio de emails de phishing

Atacantes usaram um esquema engenhoso para enviar email de phishing através da conta legítima da Robinhood.

Uma nova campanha de phishing explorou uma falha no processo de criação de contas da Robinhood, permitindo que atacantes enviassem emails aparentemente legítimos da própria empresa. O problema estava no processo de criação de conta: sempre que uma nova conta é criada, a empresa envia automaticamente um email com o assunto "Your recent login to Robinhood", incluindo informações como a hora do registo, endereço IP, dispositivo utilizado e localização aproximada.

Os atacantes conseguiram tirar partido deste sistema ao inserir código HTML malicioso nos campos de metadados do dispositivo, que não estavam devidamente filtrados. Esse código acabava por ser incluído no campo "Device" do email enviado pela Robinhood e, ao ser interpretado pelo cliente de email, apresentava uma mensagem falsa de alerta, como "Um novo dispositivo foi associado à sua conta". Os utilizadores visados recebiam um email com aparência legítima - enviado realmente do endereço oficial da empresa - mas com o conteúdo de phishing do alerta falso da actividade suspeita e a incentivar o clique em links maliciosos.

Para atingir utilizadores reais, os atacantes terão recorrido a listas de endereços de email obtidas em fugas de dados anteriores, incluindo uma lista de 2021 que afectou cerca de 7 milhões de clientes da Robinhood e cujas informações acabaram por ser colocadas à venda em fóruns de hacking. Além disso, exploraram um comportamento específico do Gmail conhecido como dot aliasing, onde adicionar de pontos num endereço de email não altera o destinatário final, permitindo criar variações de emails reais e garantir que as mensagens chegavam às vítimas pretendidas.

On Sunday evening, some customers received a falsified email from noreply@robinhood.com with the subject line “Your recent login to Robinhood.”

This phishing attempt was made possible by an abuse of the account creation flow. It was not a breach of our systems or customer…

— Robinhood Help (@AskRobinhood) April 27, 2026

A Robinhood confirmou o incidente, esclarecendo que não houve qualquer violação directa dos seus sistemas ou das contas dos utilizadores, nem impacto em dados pessoais ou fundos. Segundo a empresa, tratou-se de um abuso do processo de criação de contas. A falha já foi entretanto corrigida com a remoção do campo "Device" dos emails de confirmação, inviabilizando o método utilizado para injetar conteúdo malicioso nos emails (melhor teria sido manterem o campo, mas impedir que pudesse conter conteúdo HTML). Ainda assim, a recomendação para os utilizadores é apagar qualquer email suspeito com este formato e evitar clicar em links, mesmo quando a mensagem aparenta ser legítima.