Robinhoodユーザーは、Gmailのネイティブなドットアリアス機能とRobinhoodアカウント作成プロセスの脆弱性を悪用した新しいフィッシング攻撃の警告を受けています。
日曜日、Robinhoodのユーザーが、ソーシャルメディア上で、未認証デバイスからのログインを警告するメールをプラットフォームのメールサーバーから受信し、そのメールにはフィッシングサイトへのリンクが含まれる「アクションコール」ボタンがあると報告し始めた。
出典:David Gobaud
セキュリティ研究者でテクノロジー企業のCEOであるAlex Eckelberry氏は、このフィッシング攻撃はハッキングによるものではなく、Gmailのメールアドレスにおけるドットの無視というネイティブな機能と、Robinhoodアカウント設定の「いくつかの深刻な脆弱性」を悪用したものであると述べた。
以前、ブロックチェーンセキュリティ企業のHackenは今月上旬、2026年第1四半期にフィッシングおよび社会工学攻撃が暗号資産攻撃を支配し、3億600万ドルの損失をもたらしたと報告した。
出典: Alex Eckelberry
ハッカーが偽のRobinhoodアカウントを作成しました
Eckelberryは、この詐欺が、詐欺者がRobinhood上でターゲットのメールアドレスと非常に似たメールアドレスを使用してアカウントを作成することに依存していると述べた。
たとえば、あるRobinhoodユーザーのメールアドレスは“[email protected]”である可能性があります。詐欺者は、中间のドットを除いた新しいRobinhoodアカウント、“[email protected]”などを作成します。
ロビンフッドはそれらを完全に異なるアカウントと見なしますが、Gmailはメールアドレスのユーザー名部分のドットを無視します。这意味着、詐欺者は、本来偽のアカウントに送信されるメールを、ターゲットユーザーの受信ボックスに届くように誘導することができます。
フィッシングリンクを新規Robinhoodアカウント作成時に送信される自動メールに埋め込むために、詐欺者はRobinhoodのオプション「デバイス名」フィールドにHTML命令を追加し、Gmailがそれをフォーマット命令と認識します。
出典:Abdel
「最終的な結果は、[email protected] から送信され、SPF、DKIM、DMARC の検証を通過した本物のメールです。完全に合法に見えますが、今や注入された偽の警告テキストと有効なフィッシングボタンが含まれています。このボタンをクリックすると、偽のログインサイトに移動します」と、Eckelberry は述べました。
情報を追加した後でなければ、このメールは危険ではありません。
エッケルベリーは、偽のログインサイトにアクセスするだけではハッカーがアカウントへのアクセス権を取得できないが、パスワードなどの機密情報を入力すると、悪意のある人物が成功する可能性があると述べた。
RobinhoodはX上のサポートアカウントで月曜日に声明を掲載し、一部のユーザーが「[email protected]」から送信された偽のメール、「Your recent login to Robinhood」を受信したことを確認し、この問題は「アカウント作成プロセス」の悪用によるものだと説明しました。
「このフィッシング試行が成功したのは、アカウント作成プロセスが悪用されたためです。これは当社のシステムや顧客アカウントが侵害されたわけではなく、個人情報や資金にも影響はありませんでした」と彼らは述べました。
このメールを受け取られた場合、削除してください。疑わしいリンクをクリックしないでください。すでに疑わしいリンクをクリックされた場合、またはアカウントについてご質問がある場合は、Robinhoodアプリまたはウェブサイトを通じて直接お問い合わせください。