Robinhood 用戶正收到警告,稱有新的網絡釣魚攻擊利用 Gmail 原生的「點別名」功能以及 Robinhood 帳戶建立流程中的漏洞發送惡意郵件。
週日,Robinhood 用戶開始在社交媒體上報告收到來自該平台郵件伺服器的郵件,內容警告有未識別設備登入,並在「行動呼籲」按鈕中連結至釣魚網站。
來源:David Gobaud
网络安全研究員兼科技公司首席執行官 Alex Eckelberry 表示,這場釣魚活動並非由駭客入侵所致,而是利用了 Gmail 的一種原生特性,即忽略電子郵件地址中的點號,以及 Robinhood 帳戶設定中的「幾個嚴重漏洞」。
此前,區塊鏈安全公司 Hacken 本月初報告稱,2026 年第一季,釣魚和社會工程攻擊主導了加密貨幣攻擊,造成 3.06 億美元損失。
來源:Alex Eckelberry
黑客建立了虛假的 Robinhood 帳戶
Eckelberry 表示,這起騙局依賴於詐騙者使用與目標郵箱地址高度相似的電子郵件在 Robinhood 上創建帳戶。
例如,某位 Robinhood 用戶的郵箱地址可能是 [email protected]。詐騙者則會創建一個不帶中間點號的新 Robinhood 帳戶,例如 [email protected]。
雖然 Robinhood 會將它們視為完全不同的帳戶,但 Gmail 會忽略電子郵件地址用戶名部分中的點號。這意味著,詐騙者可以誘使 Robinhood 自動發送原本發給其虛假帳戶的郵件,卻讓這些郵件進入目標用戶的收件箱。
為了將釣魚連結植入新 Robinhood 帳戶創建時發送的自動郵件中,詐騙者隨後會在 Robinhood 的可選「設備名稱」欄位中加入 HTML 指令,而 Gmail 會將其視為格式指令。
來源:Abdel
「最終結果是一封來自 "[email protected]" 的真實郵件,且通過了 SPF、DKIM 和 DMARC 驗證。它看起來完全合法,但現在包含了注入的虛假警告文本和一個可用的釣魚按鈕。點擊該按鈕會跳轉到一個虛假的登入網站,」Eckelberry 表示。
只有在添加資訊後,這封郵件才具有危險性
Eckelberry 表示,僅訪問虛假的登入網站並不足以讓駭客取得帳戶存取權限,但如果輸入密碼等敏感資訊,惡意行為者就可能得手。
Robinhood 在 X 上的支援帳號於週一發布聲明,確認部分用戶收到了來自 "[email protected]" 的偽造郵件,主題為 “Your recent login to Robinhood”,並將問題歸因於對 “帳戶創建流程” 的利用。
他們表示:「這次釣魚嘗試之所以得逞,是因為帳戶建立流程被濫用。這並非我們的系統或客戶帳戶遭到入侵,個人資訊和資金也未受影響。」
如果您收到了這封郵件,請將其刪除,不要點擊任何可疑連結。如果您已經點擊了可疑連結,或對您的帳戶有任何疑問,請直接透過 Robinhood 應用或網站聯絡我們。