仅仅访问虚假登录网站不足以让黑客入侵账户。然而,输入密码等敏感信息可能会获得访问权限。
Robinhood用户被警告,将有一种新的钓鱼攻击,该攻击利用Gmail的原生“点别名”功能以及Robinhood账户创建流程中的缺陷,发送恶意邮件。
Robinhood用户周日开始在社交媒体上举报,平台邮件服务器发出邮件,警告有未识别的设备登录,该登录链接到钓鱼网站,点击“行动号召”按钮。
网络安全研究员兼科技CEO亚历克斯·埃克尔贝里表示,这次钓鱼攻击并非黑客攻击,而是利用了Gmail原生的一种特性,该特性会忽略电子邮件地址中的点,同时还利用了Robinhood账户设置中的“几个严重漏洞”。
此前区块链安全公司Hacken本月早些时候报告称,2026年第一季度加密攻击中,钓鱼和社交工程攻击主导了加密攻击,造成了3.06亿美元的损失。
黑客创建了假Robinhood账户
Eckelberry表示,该诈骗依赖于诈骗者在Robinhood上创建账户,邮箱地址与目标邮箱极为相似。
例如,Robinhood用户可能拥有类似“jane.smith@gmail”这样的电子邮件地址。骗子会创建一个新的Robinhood账户,邮箱中间没有点,比如“janesmith@gmail”。
虽然Robinhood会把它们当作完全不同的账户,但Gmail会忽略邮箱用户名部分的点。这意味着骗子可能会提示Robinhood自动发送发送给其假账户的邮件,但邮件却最终出现在目标邮箱。
为了在新创建Robinhood账户时自动发送的邮件中获取钓鱼链接,骗子随后会在Robinhood的可选“设备名称”字段中添加HTML指令,Gmail将其视为格式化说明。
“结果是一封来自'noreply@robinhood'的真实邮件,通过了SPF、DKIM和DMARC检测。看起来完全合法,但现在包含了注入的假警告文本和一个有效的钓鱼按钮。点击按钮会进入一个假登录网站,”埃克尔贝里说。
只有当邮件中加入了信息时才有危险
埃克尔贝里表示,仅仅访问虚假登录网站不足以让黑客获得账户访问权限,但输入密码等敏感信息可能让恶意分子得以做到这一点。
Robinhood 在 X 上的支持账户周一发布声明,确认部分用户收到了一封来自“noreply@robinhood”的伪造邮件,主题为“您最近登录 Robinhood”,并将此问题归咎于“账户创建流程”的利用。
“这次钓鱼攻击是因为账户创建流程被滥用。他们说:“这不是系统或客户账户的入侵,个人信息和资金也未受到影响。”
