本週末,Robinhood 客戶收到了一些極具說服力的釣魚電子郵件。這些郵件看似直接來自該公司,具有經過驗證的標頭、正確的簽名、真實的寄件人地址,從真實的電子郵件伺服器發送,且未被垃圾郵件過濾器攔截。
更糟的是,來自 [email protected] 的電子郵件甚至被 Gmail 自動歸入與 Robinhood 先前合法安全警報相同的對話串中。
這封電子郵件中唯一存在詐騙性質的,是其隱晦的技術異常以及內容本身——一個試圖竊取登入資訊的釣魚行動呼籲。
週日夜間,駭客利用 Robinhood 自身的通知管道發動攻擊。
此漏洞的分析報告隨後在社群媒體上迅速瘋傳。
Robinhood 釣魚電子郵件「頗具美感」
安全研究員 Abdel Sabbah 發布了對此事件的分析,帶著邪惡意涵稱其「頗具美感」。遺憾的是,他說得沒錯。
為了製造這次攻擊,駭客首先利用了 Gmail 的「點號技巧」——這是一項廣為人知的 Google 功能,Gmail 會將 [email protected]、[email protected] 以及 [email protected] 路由至同一個收件匣。
Gmail 與網際網路其他服務不同,會忽略 @ 符號前地址中的點號,因此所有這些變體都會投遞到同一個收件匣。
由於 Robinhood 與 Gmail 不同,不會對帶點號的變體進行正規化處理,攻擊者便利用了 Robinhood 合法客戶電子郵件的「點號」修改版本。
接著,攻擊者將新帳戶的裝置名稱設定為一段原始 HTML 程式碼。當 Robinhood 的「未識別活動」電子郵件生成時,範本會在未經過濾的情況下插入該裝置名稱,從而呈現出惡意的 HTML 內容。
用 Sabbah 的話來說,最終結果看起來是「一封來自 [email protected] 的真實電子郵件,DKIM 通過、SPF 通過、DMARC 通過,並附有釣魚行動呼籲。」
這個行動呼籲當然是一封偽造的安全警報電子郵件,內含超連結,指向攻擊者控制的網頁,用以竊取登入憑證和雙重驗證碼。
與幾乎所有釣魚活動一樣,最終目的是竊取客戶的資金——在本案中是其 Robinhood 帳戶中的資金。
閱讀更多:Robinhood 斥資 6.05 億美元收購 Sam Bankman-Fried 的股份
點擊任何電子郵件前請三思
許多加密貨幣意見領袖就這些極具說服力的電子郵件向大眾發出警告。
Ripple 的 David Schwartz 擴大傳播了這則警告。他發文表示:「任何看似來自 Robinhood(且實際上可能來自其電子郵件系統)的郵件都是釣魚嘗試。」引用 Sabbah 的討論串後,Schwartz 補充道:「這相當狡猾。」
2025 年 4 月,Ethereum Name Service 首席開發者 Nick Johnson 記錄了一起幾乎完全相同的漏洞利用事件,涉及看似由 Google 本身發送的電子郵件。
攻擊者採用了類似的一系列手法,利用 Google 自身的基礎設施從 [email protected] 發送經 DKIM 簽名的釣魚電子郵件。
當時的教訓在今日依然適用:無論電子郵件看起來多麼真實,都要謹慎點擊其中的任何連結。
傳統的反釣魚建議告訴用戶要檢查寄件人網域並尋找驗證失敗的跡象。但在這次事件中,這些方法毫無幫助。網域看起來是真實的,簽名看起來是真實的,唯有意圖是犯罪的。
Robinhood 自身的詐騙防範指引要求客戶驗證寄件人的電子郵件網域,並列出 @robinhood.com 作為真實範例。
Protos 已就此事聯繫 Robinhood 尋求回應,但截至發稿前未收到任何回覆。今日 Robinhood 普通股在納斯達克開盤,相較週五收盤價基本持平。
有線索嗎?請透過 Protos Leaks 以安全方式向我們發送電子郵件。欲獲取更多深度資訊,請在 X、Bluesky 及 Google News 上關注我們,或訂閱我們的 YouTube 頻道。
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
