Chống lại các cuộc tấn công lừa đảo tinh vi của RobinHood… Tên miền và xác thực đều đã qua.

Theo truyền thông, người dùng Robinhood trong cuối tuần đã nhận được số lượng lớn email “lừa đảo” dường như do công ty gửi trực tiếp. Những email này có địa chỉ gửi đúng là @robinhood.com, tiêu đề xác thực và chữ ký số (DKIM) đã được xử lý bình thường, qua đó vượt qua bộ lọc thư rác.

Đặc biệt, một số email gửi từ [email protected] thậm chí còn tự động hợp nhất vào “chuỗi hội thoại” cùng các cảnh báo an toàn bình thường trước đây của Robinhood trong Gmail. Gần như không có dấu hiệu bất thường rõ ràng từ bên ngoài, vấn đề cốt lõi nằm ở chỗ, nội dung như liên kết dẫn người dùng nhập thông tin đăng nhập chính là lừa đảo.

“Mẹo chấm” và tiêm HTML… lợi dụng kênh thông báo của Robinhood

Nhà nghiên cứu an ninh Abdel Sabbah khi phân tích vụ tấn công này đã nhận xét một cách hơi ảm đạm rằng nó “khá đẹp (kinda beautiful)”. Kẻ tấn công đầu tiên lợi dụng đặc tính của Gmail bỏ qua phần trước @ trong địa chỉ (gọi là “dot trick”), khiến các địa chỉ biến thể như [email protected] và [email protected] đều có thể vào cùng một hộp thư đến.

Vấn đề là Robinhood không xử lý chuẩn hóa các biến thể chấm như Gmail. Kẻ tấn công tạo ra các tài khoản có chứa chấm, chèn HTML gốc vào ô nhập tên thiết bị (device name), rồi dụ Robinhood chèn trực tiếp vào mẫu email cảnh báo “hoạt động chưa xác định” mà không qua quá trình làm sạch (sanitize). Thông báo chỉ ra rằng, kết quả là tạo ra một email lừa đảo “bình thường” dường như đã vượt qua tất cả các tiêu chí “DKIM qua, SPF qua, DMARC qua”.

Mục tiêu là chiếm quyền kiểm soát tài khoản… thậm chí cả mã 2FA cũng bị nhòm ngó

Trong email có kêu gọi hành động (CTA) dưới dạng cảnh báo an toàn giả mạo, chứa liên kết dẫn đến trang web do kẻ tấn công kiểm soát. Đây là thủ đoạn điển hình: người dùng nhấp vào liên kết và nhập thông tin đăng nhập, không chỉ bị lấy mất mật khẩu, mà còn cả mã xác thực hai yếu tố (2FA), từ đó chiếm quyền truy cập tài khoản.

Giống như các hoạt động lừa đảo khác, mục đích cuối cùng của vụ tấn công này là truy cập “tài chính của người dùng”. Tài khoản Robinhood được xem là mục tiêu chính. Vụ việc này cho thấy, ngay cả các chỉ số tưởng chừng bình thường như tên miền, chữ ký xác thực, máy chủ gửi thư cũng có thể đều hợp lệ, cảnh báo các nhà đầu tư tiền điện tử và nhà đầu tư phổ thông.

“Nhìn thấy liên kết trong email, hãy dừng lại trước đã”… thói quen xác thực là then chốt

Phân tích vụ việc nhanh chóng lan truyền trên mạng xã hội, nhiều nhà lãnh đạo ý kiến về tiền điện tử cũng nhắc nhở “cẩn thận khi nhấp”. Giám đốc công nghệ của Ripple, David Schwartz, cảnh báo: “Ngay cả những email trông có vẻ đến từ Robinhood (thậm chí có thể gửi qua hệ thống email thực sự) cũng có thể là email lừa đảo, thủ đoạn rất tinh vi.”

Các trường hợp tương tự đã từng xảy ra trước đây. Tháng 4 năm 2025, Nick Johnson, trưởng nhóm phát triển của dịch vụ tên miền Ethereum (ENS), đã tiết lộ rằng có người lợi dụng hạ tầng của Google để gửi email lừa đảo dường như đến từ [email protected] và đã qua DKIM. Vụ Robinhood lần này cũng mang thông điệp tương tự. Việc dựa vào tên miền gửi và xác thực để đánh giá là không đủ, cần hình thành thói quen: không nhấp ngay vào liên kết trong email, mà đăng nhập trực tiếp qua ứng dụng hoặc trang web chính thức để xác nhận lại thông báo.

Tóm tắt bài viết của TokenPost.ai

🔎 Phân tích thị trường - Vụ việc này chứng minh rằng, chỉ dựa vào các chỉ số kỹ thuật email như “tên miền hợp lệ (@robinhood.com), xác thực hợp lệ (DKIM/SPF/DMARC)” để tin tưởng là không đủ - Tài khoản giao dịch/ví/đại lý chứng khoán liên quan trực tiếp đến tiền, là mục tiêu chính của lừa đảo, cả nhà đầu tư chứng khoán lẫn tiền điện tử đều đối mặt rủi ro tương tự - Các yếu tố UI như “chuỗi hội thoại (đối thoại) hợp nhất” có thể bị lợi dụng, nhằm tăng độ tin cậy để tăng tỷ lệ nhấp, cho thấy tầm quan trọng của việc kiểm tra mẫu và xác thực giá trị nhập (Sanitize) của nền tảng/phần mềm email 💡 Các chiến lược chính - Không nhấp vào liên kết trong email, hãy mở trực tiếp ứng dụng hoặc trang web chính thức để xác nhận thông báo và sự kiện an toàn (tập thói quen dùng dấu trang hoặc nhập trực tiếp) - Nếu nhận được cảnh báo “đăng nhập/hoạt động chưa xác định”: ngay lập tức đổi mật khẩu → đăng xuất tất cả các phiên → đặt lại 2FA (ưu tiên dùng ứng dụng xác thực hoặc chìa khóa truy cập an toàn) → kiểm tra địa chỉ rút tiền/thiết bị đã kết nối - Dù email có vẻ “bình thường gửi đi”, cũng cần đánh giá nội dung (yêu cầu thao tác): yêu cầu nhập mã đăng nhập/2FA, nhấn mạnh tính khẩn cấp, dụ dỗ truy cập tên miền bên ngoài, đều là tín hiệu rủi ro cao - Nhận thức từ phía dịch vụ vận hành: ngăn chặn người dùng nhập HTML vào các trường như tên thiết bị (bằng cách thoát/ làm sạch), kiểm tra chiến lược chèn dữ liệu người dùng trong mẫu email, xem xét chuẩn hóa các biến thể chấm Gmail hoặc ngăn chặn đăng ký trùng lặp 📘 Thuật ngữ chính - Lừa đảo(Phishing): kỹ thuật giả mạo tổ chức/dịch vụ đáng tin cậy để lấy cắp thông tin tài khoản, mã xác thực, v.v. - DKIM/SPF/DMARC: hệ thống xác thực email xác nhận email có đến từ máy chủ/ chữ ký được ủy quyền của tên miền đó (qua xác thực cũng không đảm bảo nội dung an toàn) - Dot trick (mẹo chấm): lợi dụng Gmail bỏ qua phần chấm trong ID người dùng, xem như cùng một tài khoản để tấn công - Tiêm HTML(Injection): chèn HTML/script vào ô nhập để làm hiển thị theo ý đồ của kẻ tấn công - 2FA (xác thực hai yếu tố): phương pháp an toàn yêu cầu xác thực bổ sung ngoài mật khẩu (mã, ứng dụng, chìa khóa), có thể bị lừa lấy mã qua lừa đảo

💡 Các câu hỏi thường gặp (FAQ)

Q. Nếu email qua xác thực DKIM/SPF/DMARC rồi thì có nghĩa là thật không? Không. DKIM/SPF/DMARC chỉ xác nhận “email gửi từ hệ thống của tên miền đó”, không đảm bảo nội dung (liên kết/ hướng dẫn) là an toàn. Giống như vụ này, nếu trong mẫu thông báo của dịch vụ có nội dung độc hại, thì vẫn có thể tạo ra email lừa đảo đã qua xác thực. Q. Khi nhận được email lừa đảo này, cách xác nhận an toàn nhất là gì? Không nhấp vào liên kết trong email, hãy đăng nhập trực tiếp qua ứng dụng Robinhood hoặc trang web chính thức (dùng dấu trang hoặc nhập URL thủ công) để kiểm tra thông báo và sự kiện an toàn. Nếu cần, tìm kiếm qua kênh chính thức và liên hệ bộ phận hỗ trợ, đồng thời báo cáo email khả nghi là thư rác/lừa đảo. Q. Nếu tôi đã nhấp vào liên kết và nhập thông tin đăng nhập cùng mã 2FA, thì phải làm sao? Thực hiện theo thứ tự sau ngay lập tức: (1) Thay đổi mật khẩu, (2) Đăng xuất tất cả các thiết bị/phiên, (3) Đặt lại 2FA (ưu tiên dùng ứng dụng xác thực hoặc chìa khóa bảo mật chống lừa đảo), (4) Kiểm tra các khoản rút tiền/thiết bị đã liên kết, API truy cập, (5) Báo cáo các giao dịch/rút tiền đáng ngờ tới bộ phận hỗ trợ.

Lưu ý của AI TokenPost Bài viết này tổng hợp dựa trên mô hình ngôn ngữ của TokenPost.ai. Có thể bỏ sót nội dung chính hoặc có sự khác biệt với thực tế.