بالنسبة لهجوم الصيد الدقيق على روبن هود... تم التحقق من النطاقات والتوثيق.

يُشاع أن مستخدمي Robinhood تلقوا خلال عطلة نهاية الأسبوع العديد من رسائل البريد الإلكتروني التي تبدو وكأنها مرسلة مباشرة من الشركة. كانت عناوين المرسل لهذه الرسائل تحمل بالفعل نطاق @robinhood.com، وتم التعامل مع رؤوس التصديق والتوقيع الرقمي مثل (DKIM) بشكل طبيعي، مما تجاوز مرشحات البريد المزعج.

وبشكل خاص، بعض الرسائل المرسلة من [email protected]، في Gmail، تم دمجها تلقائيًا حتى مع التحذيرات الأمنية العادية السابقة من Robinhood ضمن نفس “سلسلة المحادثة”. لم تظهر علامات واضحة على وجود استثناء خارجي، والمشكلة الأساسية أن “المحتوى” الذي يدعو المستخدمين لإدخال معلومات تسجيل الدخول، مثل الروابط، هو في حد ذاته احتيالي.

تقنية “نقطة الترقيم” وحقن HTML… استغلال قناة إشعارات Robinhood

قام الباحث الأمني عبد الصباح عبد، أثناء تحليله لهذا الهجوم، بتقييمه بشكل متشائم بقوله إنه “جميل إلى حد ما (kinda beautiful)”. استغل المهاجمون أولاً خاصية Gmail التي تتجاهل النقاط (.) قبل جزء من عنوان البريد الإلكتروني، والمعروفة باسم “حيلة النقطة” (dot trick)، مما يسمح لعناوين مثل [email protected] و [email protected] بالدخول إلى نفس صندوق البريد.

المشكلة أن Robinhood لا تقوم بمعالجة توحيد النقاط في العناوين بشكل مماثل لـ Gmail. أنشأ المهاجمون حسابات تحتوي على نقاط، وزرعوا كود HTML في حقل اسم الجهاز (device name)، واستدرجوا قالب رسائل إشعارات “نشاط غير معروف” من Robinhood ليتم إدراجها مباشرة دون تنظيف (sanitize). وأوضح التقرير أن النتيجة كانت رسالة تصيد تبدو “مرسلة بشكل طبيعي” وتفي بجميع شروط “DKIM ناجح، SPF ناجح، DMARC ناجح”.

الهدف هو السيطرة على الحساب… روابط تسرق حتى رموز 2FA

تظهر الدعوة لاتخاذ إجراء (CTA) في البريد الإلكتروني على شكل تحذير أمني زائف، يتضمن رابطًا لموقع إلكتروني يتحكم فيه المهاجمون. هذه تقنية تقليدية: عند نقر المستخدم على الرابط وإدخال معلومات تسجيل الدخول، يتم سرقة ليس فقط كلمة المرور، بل وأيضًا رموز التحقق الثنائية (2FA) التي قد تُستخدم، مما يمنح المهاجمين وصولاً غير مصرح به إلى الحساب.

مثل غيرها من هجمات التصيد، فإن الهدف النهائي لهذا الهجوم هو الوصول إلى “أموال المستخدم”. يُعتبر حساب Robinhood هدفًا رئيسيًا. تكشف هذه الحالة أن حتى المؤشرات التي تبدو طبيعية (النطاق، التوقيع، خادم الإرسال) قد تكون سليمة تمامًا، مما ينبه المستثمرين في العملات المشفرة والمستثمرين العاديين على حد سواء.

“توقف عند رؤية الروابط في البريد”… عادة التحقق هي المفتاح

انتشرت تحليلات الحادث بسرعة على وسائل التواصل الاجتماعي، وحذر العديد من قادة الرأي في مجال العملات المشفرة من “الحذر عند النقر”. حذر ديفيد شوارتز، المدير التقني في Ripple، قائلاً: “حتى الرسائل التي تبدو من Robinhood (وحتى تلك التي قد تكون مرسلة عبر نظام البريد الحقيقي) قد تكون رسائل تصيد، والأساليب ذكية جدًا.”

وقعت حالات مماثلة من قبل. في أبريل 2025، كشف نيك جونسون، كبير مطوري خدمة أسماء Ethereum (ENS)، عن أن شخصًا ما استغل بنية Google الأساسية لإرسال رسائل تصيد تبدو وكأنها من [email protected] ومررت بتوقيع DKIM. وتُرسل الحالة الحالية من Robinhood نفس الرسالة. الاعتماد فقط على فشل التحقق من المرسل والنطاق غير كافٍ، ويجب أن تتعود على: عدم النقر مباشرة على الروابط في البريد، بل تسجيل الدخول عبر التطبيق أو الموقع الرسمي للتحقق من الإشعارات مرة أخرى.

ملخص المقال بواسطة TokenPost.ai

🔎 تفسير السوق - تؤكد هذه الحالة مرة أخرى أن الاعتماد على مؤشرات تقنية البريد الإلكتروني فقط (مثل النطاق، التوقيع، خادم الإرسال) لا يضمن الأمان - الحسابات المرتبطة مباشرة بالأموال (مثل التداول/المحفظة/الوسيط) هي الهدف الرئيسي للاحتيال، ويواجه المستثمرون في الأسهم والعملات المشفرة نفس المخاطر - عناصر واجهة المستخدم مثل “دمج سلسلة المحادثات” قد تُستغل، لزيادة الثقة وتحفيز النقر، مما يبرز أهمية نماذج القوالب والتحقق من الإدخالات (Sanitize) في المنصات وخدمات البريد 💡 النقاط الاستراتيجية - لا تنقر على الروابط في البريد، وبدلاً من ذلك، افتح التطبيق أو الموقع الرسمي للتحقق من الإشعارات والأحداث الأمنية (اعتمد على الإشارات المرجعية أو الإدخال المباشر) - إذا تلقيت تحذير “تسجيل دخول/نشاط غير معروف”: قم فورًا بتغيير كلمة المرور → سجل الخروج من جميع الجلسات → أعد تعيين 2FA (يفضل استخدام تطبيق المصادقة أو مفاتيح المرور لمقاومة التصيد) → افحص عناوين السحب والأجهزة المرتبطة → تحقق من وجود معاملات أو عمليات سحب مشبوهة وأبلغ خدمة العملاء عن الحادث الأمني.

ملاحظات على الذكاء الاصطناعي في المقالة تم تلخيصها باستخدام نموذج لغة من TokenPost.ai. قد يكون هناك نقص في المحتوى الأصلي أو اختلاف في الحقائق.