Contre l'attaque de phishing sophistiquée de Robinhood… le domaine et l'authentification sont tous deux validés.

Selon des rumeurs, les utilisateurs de Robinhood ont reçu en masse, pendant le week-end, des « emails de phishing » semblant provenir directement de la société. Ces emails avaient effectivement une adresse d’expéditeur avec le domaine @robinhood.com, leurs en-têtes d’authentification et signatures numériques (DKIM) étaient traités normalement, ce qui leur permettait de contourner les filtres anti-spam.

En particulier, certains emails envoyés depuis [email protected] étaient même automatiquement regroupés dans Gmail avec d’anciens avertissements de sécurité légitimes de Robinhood dans le même « fil de discussion ». Il n’y avait presque aucune indication évidente d’anomalies externes, le problème principal étant que le « contenu » lui-même, comme les liens incitant à entrer des informations de connexion, était frauduleux.

La « technique du point » et l’injection HTML… abus de la canalisation de notifications Robinhood

L’expert en sécurité Abdel Sabbah, lors de l’analyse de cette attaque, a qualifié celle-ci de « plutôt élégante (kinda beautiful) » avec une pointe de mélancolie. L’attaquant a d’abord exploité la caractéristique de Gmail d’ignorer la partie point (.) dans l’adresse avant le @ (appelée « dot trick »), permettant que des variantes comme [email protected] et [email protected] arrivent dans la même boîte de réception.

Le problème est que Robinhood ne normalise pas ces variantes de points comme Gmail. L’attaquant a créé un compte avec des points dans le nom, inséré du HTML brut dans le champ du nom de l’appareil (device name), et a induit Robinhood à insérer directement dans ses modèles d’email de notification d’« activité non reconnue » sans nettoyage (sanitize). La description indique que le résultat constitue un email de phishing « apparemment normal » qui passe tous les tests : DKIM, SPF, DMARC.

Objectif : prise de contrôle du compte… liens visant même le code 2FA

L’appel à l’action (CTA) dans l’email apparaît sous la forme d’un faux avertissement de sécurité, contenant un hyperlien vers une page contrôlée par l’attaquant. La méthode est classique : après avoir cliqué et saisi ses identifiants, l’utilisateur voit ses mots de passe et même ses codes de double authentification (2FA) être interceptés, permettant de voler l’accès au compte.

Comme pour d’autres campagnes de phishing, l’objectif final est d’accéder aux « fonds de l’utilisateur ». Robinhood est considéré comme la cible principale. Ce cas révèle que même des indicateurs apparemment normaux (domaine, signature, serveur d’envoi) peuvent tous être en ordre, ce qui sonne l’alarme pour les investisseurs en cryptomonnaies et les investisseurs ordinaires.

« Arrêtez-vous d’abord en voyant le lien dans l’email »… La vérification régulière est essentielle

L’analyse de l’incident s’est rapidement propagée sur les réseaux sociaux, où plusieurs leaders d’opinion en cryptomonnaie ont rappelé « soyez prudent avant de cliquer ». David Schwartz, CTO de Ripple, a averti : « Même un email qui semble provenir de Robinhood (ou qui pourrait avoir été envoyé par un vrai système de messagerie) peut être une tentative de phishing, la technique est très sophistiquée. »

Des cas similaires sont déjà survenus. En avril 2025, Nick Johnson, le principal développeur du service de noms Ethereum (ENS), avait révélé qu’une personne avait abusé de l’infrastructure de Google pour envoyer des emails de phishing semblant provenir de [email protected] et signés DKIM. La leçon est la même pour le cas Robinhood : il ne suffit pas de se fier uniquement au domaine d’expéditeur et à la validation ; il faut adopter la bonne habitude : ne pas cliquer immédiatement sur les liens dans l’email, mais se connecter directement via l’application ou le site officiel pour vérifier la notification.

Résumé de l’article par TokenPost.ai

🔎 Analyse du marché - Ce cas de phishing via le « domaine normal (@robinhood.com) » et la certification légitime (DKIM/SPF/DMARC) confirme une fois de plus que la confiance basée uniquement sur la technique d’email ne garantit pas la sécurité - Les comptes de trading/portefeuille/courtier liés directement aux fonds sont la cible principale, que ce soit pour la bourse ou la cryptomonnaie, tous sont exposés au même risque - Des éléments UI comme la « fusion de fils de discussion » peuvent être abusés pour renforcer la confiance et augmenter le taux de clics, soulignant l’importance des modèles et de la validation des valeurs d’entrée (Sanitize) sur la plateforme et dans les services de messagerie 💡 Points clés de stratégie - Ne pas cliquer sur les liens dans l’email, mais ouvrir directement l’application ou le site officiel pour vérifier notifications et incidents de sécurité (adopter la pratique des favoris ou de la saisie directe) - En cas d’avertissement « activité ou connexion non reconnue » : changer immédiatement le mot de passe → déconnecter toutes les sessions → réinitialiser la 2FA (en privilégiant l’utilisation d’une application d’authentification ou d’une clé de sécurité) → vérifier les adresses de retrait, appareils connectés, accès API - Même si l’email semble « légitime », il faut juger si le contenu (opérations demandées) est suspect : demande de login, codes 2FA, urgence soulignée, incitation à aller sur un domaine externe, tous ces signaux sont à haut risque - Insights opérationnels : prévenir l’injection HTML dans les valeurs saisies par l’utilisateur (évasion/ nettoyage), vérifier la stratégie d’insertion des données utilisateur dans les modèles d’email, envisager la normalisation des variantes de Gmail avec points ou la prévention des inscriptions en double 📘 Termes clés - Phishing( : technique de fraude consistant à usurper une identité ou un service légitime pour voler des informations de compte, des codes d’authentification, etc. - DKIM/SPF/DMARC : systèmes de validation pour vérifier si un email provient bien d’un serveur autorisé par le domaine (la validation ne garantit pas la sécurité du contenu) - Dot trick (technique du point) : exploiter la capacité de Gmail à ignorer les points dans l’ID utilisateur pour faire passer différentes variantes pour la même adresse - Injection HTML) : insérer du code HTML ou script dans un champ pour manipuler l’affichage ou le contenu du message - 2FA (double authentification) : méthode de sécurité demandant un code ou une clé supplémentaire en plus du mot de passe (pouvant aussi être ciblée par phishing) 💡 FAQ(

Q. Si un email passe la validation DKIM/SPF/DMARC, est-il forcément légitime ? Non. Ces validations ne font que confirmer que l’email a été envoyé par un serveur autorisé par le domaine, mais ne garantissent pas que le contenu (liens, instructions) est sécurisé. Comme dans ce cas, si le canal de notification (modèle) est compromis, un email de phishing peut passer la validation. Q. Quelle est la méthode la plus sûre pour confirmer si un email est frauduleux ? Ne pas cliquer sur les liens, mais se connecter directement via l’application Robinhood ou le site officiel (en utilisant un favori ou en tapant l’URL). Vérifier les notifications et incidents de sécurité. En cas de doute, rechercher la communication officielle et contacter le support, puis signaler l’email suspect comme spam/phishing. Q. Que faire si j’ai déjà cliqué et saisi mes identifiants et codes 2FA ? Suivez immédiatement ces étapes : )1( Modifier le mot de passe, )2( Déconnecter toutes les sessions/appareils, )3( Réinitialiser la 2FA (en privilégiant une application d’authentification ou une clé de sécurité), )4( Vérifier les retraits, comptes liés, appareils, accès API, )5( Signaler toute activité suspecte à l’assistance.