Cybercriminelen misleiden op dit moment gebruikers van Robinhood met phishing-mails via Gmail. De berichten lijken echt en sturen naar een nagemaakte inlogpagina. Het doel is toegang tot accounts en het leegmaken van crypto-saldi. De campagne raakt ook Europese gebruikers, omdat Robinhood Crypto sinds 2023 in de EU beschikbaar is.
Gmail-weergave wekt vertrouwen
De e-mails lijken te komen van het handelsplatform Robinhood en gebruiken dezelfde toon en huisstijl. Afzendernaam en logo wekken vertrouwen, terwijl het afzenderadres vaak maar één letter verschilt. Soms gebruiken criminelen zelfs een gehackt echt account. Zo glippen berichten makkelijker langs automatische filters.
Gmail van Google gebruikt spamfilters en machine learning om dit soort berichten te blokkeren. Toch kan een goed nagemaakte mail de controle soms passeren. Criminelen testen hun berichten en passen details telkens aan. Daardoor blijft het filteren een kat-en-muisspel.
De teksten spelen in op urgentie, met meldingen over accountblokkade of “verificatie nodig”. De link leidt naar een website die sterk lijkt op robinhood.com. Criminelen schrijven steeds betere, foutloze teksten, mogelijk met hulp van generatieve AI. Dat maakt de zwendel geloofwaardiger voor een groot publiek.
Inloggegevens staan centraal
De aanval draait om het buitmaken van gebruikersnaam en wachtwoord. De valse site kopieert de Robinhood-inlogpagina en toont soms ook echte merktekens. Gebruikers zien pas laat dat de domeinnaam anders is. Dan is de schade vaak al aangericht.
Veel accounts hebben extra beveiliging met meerstapsverificatie (MFA), zoals een sms-code of een app-code. Sommige phishingkits vragen die code direct mee, of misbruiken “push”-meldingen. Een reverse-proxy, een soort tussenstation dat verkeer live meeleest, kan sessies zelfs kapen. Daarmee krijgen criminelen toegang zonder het wachtwoord te kennen.
Zodra een aanvaller binnen is, gaat het snel. Crypto kan in minuten worden verplaatst naar externe wallets. Terugboeking is dan lastig, omdat blockchain-transacties definitief zijn. Dat maakt deze vorm van fraude extra risicovol voor particuliere beleggers.
EU-gebruikers ook geraakt
Robinhood biedt op het moment van schrijven cryptohandel aan binnen de Europese Unie. Gmail is wijdverbreid in Nederland en de rest van Europa. De combinatie zorgt dat ook Europese gebruikers doelwit zijn. Dit maakt de kwestie relevant voor de lokale markt en toezichthouders.
Onder de AVG geldt dat platforms persoonsgegevens goed moeten beveiligen. Denk aan dataminimalisatie en versleuteling van gevoelige data. Bij een daadwerkelijke datalek bij het bedrijf geldt een meldplicht binnen 72 uur. Phishing bij een gebruiker is niet automatisch een datalek bij de aanbieder, maar kan wel leiden tot persoonsverlies en financiële schade.
Daarnaast komen met NIS2 strengere eisen voor digitale weerbaarheid van belangrijke bedrijven in de EU. Financiële en fintech-dienstverleners zullen scherper naar e-mailauthenticatie en incidentrespons moeten kijken. Voor Nederlandse organisaties ligt coördinatie met het NCSC-NL voor de hand. Vroegtijdige detectie en delen van indicatoren van compromise helpen de sector als geheel.
Authenticatie helpt niet altijd
E-mailauthenticatie beperkt spoofing, maar stopt phishing niet volledig. SPF controleert of een server e-mail mag verzenden voor een domein. DKIM zet een digitale handtekening onder een bericht. DMARC vertelt ontvangende servers wat te doen als SPF of DKIM niet kloppen.
DMARC is een e-mailbeveiligingsstandaard die controleert of een afzender echt is, en bepaalt of ongeldige berichten moeten worden geweigerd of in spam belanden.
Google verplicht bulkverzenders sinds 2024 tot strengere regels, zoals DMARC en een makkelijke afmeldknop. Dat verkleint spam en spoofing bij legitieme nieuwsbrieven. Toch misbruiken criminelen lookalike-domeinen, gehackte verzendservers of omleidingen. Hierdoor zien hun berichten er nog steeds echt uit.
Logo’s en verificatie-icoontjes geven geen garantie. Het echte bewijs zit in de domeinnaam en het beveiligde pad naar de site. Controleer daarom altijd het webadres in de browserbalk. Klik niet door vanuit e-mail, maar ga via een eigen bookmark of de officiële app.
Praktische stappen voor gebruikers
Open Robinhood alleen via de officiële app of een eigen bookmark. Controleer in e-mail de volledige afzender en de link, zonder te klikken. Taalfouten, spoedverzoeken of bijlagen zijn rode vlaggen. Twijfel? Negeer de mail en log in via de bekende route.
Schakel sterke beveiliging in, zoals een authenticator-app of passkeys. Een passkey is een inlogmethode met gezichtsherkenning of vingerafdruk, zonder wachtwoord. Zet waar mogelijk opname-whitelists en uitbetalingsvertraging aan. Controleer regelmatig actieve sessies en verbonden apparaten.
Heb je toch geklikt of gegevens ingevuld? Verander direct je wachtwoord, log overal uit en stel 2FA opnieuw in. Neem contact op met de klantenservice van Robinhood en meld de e-mail bij Gmail als phishing. In Nederland kun je ook terecht bij de Fraudehelpdesk en aangifte doen bij de politie.
Wat bedrijven nu moeten doen
Voor Robinhood ligt de focus op standaard 2FA of passkeys voor alle accounts. Extra bevestiging bij nieuwe apparaten en risicovolle transacties helpt misbruik te blokkeren. Heldere waarschuwingen in-app over veelvoorkomende phishingteksten verlagen de kans op klikken.
Google kan verificatie van merkindicatoren en lookalike-domeinen verder aanscherpen. Strengere controles op afzenderdomeinen en afwijkend gedrag verhogen de drempel voor criminelen. Waarschuwingsbanners met duidelijke uitleg helpen gebruikers sneller kiezen voor veilig gedrag.
Bedrijven in Nederland en de EU doen er goed aan hun e-maildomeinen af te sluiten met DMARC op p=reject. Voeg MTA-STS toe om versleutelde e-mailaflevering af te dwingen; dit is een beleid dat TLS voor e-mail verplicht stelt. Deel dreigingsinformatie met branchegenoten, CERT-EU en NCSC-NL. Zo wordt de detectie sneller en de schade kleiner.
