Также здесь хакеры могут покупать и продавать учетные данные электронной почты для доступа к учетным записям клиентов в Robinhood Markets, онлайн-брокерской компании, которая привлекла в этом году миллионы пользователей, многие из которых являются молодыми и впервые торгуют акциями.
Доступ к более чем 10 000 учетных данных электронной почты, предположительно связанных с учетными записями Robinhood, был доступен для продажи на этой неделе, согласно обзору темных веб-площадок, проведенному Bloomberg. По словам Эли Доминица (Eli Dominitz), генерального директора Q6 Cyber, разведывательной компании по электронной преступности, которая проанализировала распространенность этой рекламы в темной сети, количество электронных писем, связанных с Robinhood, превышает количество электронных писем других брокерских контор примерно в 5 к 1.
«Если они чувствуют, что Robinhood дает им больший потенциал, чем попытка украсть деньги у Bank of America, они собираются это сделать», — сказал Доминиц о киберпреступниках и о том, почему может быть больше спроса на аккаунты Robinhood по сравнению с другими брокерскими компаниями.
Клиенты Robinhood месяцами жаловались, что их учетные записи были взломаны и что они изо всех сил пытались заставить компанию ответить. Внутреннее расследование показало, что в результате взлома электронной почты было взломано почти 2000 учетных записей.
Robinhood подчеркнул, что это не единственная брокерская компания, подверженная таким атакам.
«Киберпреступники нередко преследуют клиентов компаний, оказывающих финансовые услуги, пытаясь использовать информацию, полученную из даркнета», — сказано в заявлении, отправленном по электронной почте, добавив, что информация часто неточна и что только украденная электронная почта, не является достаточным фактором, чтобы поставить под угрозу брокерский счет.
Торговый бум
Фирма заявила, что нет никаких признаков взлома ее систем и она применяет несколько мер безопасности, одновременно призывая клиентов включить двухфакторную аутентификацию. Robinhood также пообещал полностью выплатить компенсацию клиентам, если компания определит, что они потеряли деньги из-за несанкционированной деятельности.
Доступность учетных данных клиентов в темной сети подчеркивает проблемы, с которыми брокеры сталкиваются в эпоху COVID-19, поскольку бум онлайн-торговли сопровождался увеличением возможностей для киберпреступников.
Bloomberg также обнаружил данные, связанные с почти 1000 учетными записями TD Ameritrade Holding Corp. на торговой площадке под названием SlilPP, которая известна тем, что продает украденные учетные данные банковских и финансовых услуг.
«Киберпреступники постоянно развивают свою тактику, и мы очень стараемся оставаться на шаг впереди их», — заявила пресс-секретарь TD Ameritrade Кристина Гете (Christina Goethe) в заявлении, отметив, что компания также предлагает меры безопасности, включая двухфакторную аутентификацию.
«Цифровое подполье»
Данные, продаваемые на темных веб-площадках, обычно точны, хотя неясно, привязаны ли все учетные данные к подлинным брокерским счетам, по словам Доминица, который работает с другими финансовыми фирмами для отслеживания угроз.
Одно из последних предложений о покупке доступа к учетным записям Robinhood поступило в среду, где все учетные данные были доступны всего за 3,50 доллара США.
«Fresh DUMP Active accounts with orders! MAIL access only!»
Доминиц объяснил, что типичный взлом может работать следующим образом:
После захвата электронной почты жертвы вор запрашивает новый пароль для брокерской учетной записи, а затем перехватывает электронное письмо, отправленное в ответ, эффективно блокируя владельца учетной записи, прежде чем он заметит проблему.
Некоторые торговые площадки продают другую информацию, которая может предоставить другой способ взлома учетных записей клиентов. Один из них рекламировал удаленный доступ к ноутбуку, зараженному вредоносным ПО, раскрывая действующие учетные данные Robinhood.
Заблокировано
Клиент Robinhood Райан Борднер (Ryan Bordner), инженер-электрик из Спокана, штат Вашингтон, был среди тех, чьи учетные данные электронной почты продавались в даркнете. Как и многие другие, он проснулся однажды утром в середине августа и обнаружил, что его брокерский счет заблокирован.
30-летний Борднер сказал, что позже он узнал из службы защиты от кражи личных данных, что его учетные данные электронной почты оказались в даркнете после взлома в июне другого приложения для личных финансов, которое он создал несколько лет назад и о котором забыл. Злоумышленник использовал этот доступ, чтобы изменить пароль своего брокерского счета и перенаправить все электронные письма от Robinhood в его корзину.
Взлом стал последней головной болью для Robinhood, основанного семь лет назад Байджу Бхаттом (Baiju Bhatt) и Владом Теневым (Vlad Tenev) и в этом году он стал очень популярным, поскольку американцы, оставаясь дома, пытаются заработать немного денег во время пандемии. Бесплатное брокерское приложение также вызывало жалобы потребителей: начинающих инвесторов смущали капризы опционов на акции и маржинальные ссуды и некому было обратиться за помощью по телефону.
«Мы работаем над поддержкой клиентов по всем направлениям», — сказал Тенев в интервью CNBC на этой неделе. «Мы сделали огромные инвестиции и продолжаем делать огромные инвестиции».
«Худший опыт»
Теперь, несмотря на то, что фирма заявила, что в этом году она более чем удвоила свою команду по обслуживанию клиентов, клиенты жалуются, что им не удается получить быструю помощь, когда их средства исчезают.
«Это был худший опыт, когда дело доходит до обслуживания клиентов», — сказал Борднер, который решил проблемы только после того, как его учетная запись была заблокирована более чем на месяц.
Между тем учетные записи электронной почты клиентов Robinhood продолжают привлекать хакеров и Доминиц сказал, что проблема может быть «чертовски намного больше», чем 2 000 случаев, выявленных в ходе внутреннего расследования компании.
«Может быть, это то, что они смогли обнаружить изнутри», — сказал он. «Может быть, это то, что они уже видят в несанкционированной активности, но это не значит, что это полный объем того, что было скомпрометировано».