Robinhood客户本周末收到了一些极具欺骗性的网络钓鱼电子邮件。这些邮件看似直接来自该公司,具有经过验证的邮件头、正确的签名、真实的发件人地址,从真实的电子邮件服务器发出,且未被垃圾邮件过滤器拦截。
更糟糕的是,来自 [email protected] 的电子邮件甚至被Gmail自动归入与Robinhood此前合法安全警报相同的会话线程中。
这封邮件唯一存在欺诈性的地方,在于一些隐蔽的技术异常及其内容——一个寻求登录信息的网络钓鱼行动呼吁。
到周日晚上,黑客利用Robinhood自身的通知渠道发动了攻击。
对该漏洞利用手法的分析随后迅速在社交媒体上广泛传播。
Robinhood钓鱼邮件"颇为精妙"
安全研究员Abdel Sabbah发文分析了此事件,带着险恶的意味称其"颇为精妙"。遗憾的是,他说得没错。
为策划此次攻击,黑客首先利用了Gmail的"点技巧"——这是谷歌的一项广为人知的功能,Gmail会将 [email protected]、[email protected] 和 [email protected] 路由至同一收件箱。
Gmail与互联网其他平台不同,它会忽略@符号前地址部分中的点,因此所有这些变体都会投递到同一收件箱。
由于Robinhood与Gmail不同,不会对含点变体进行标准化处理,攻击者便使用了Robinhood合法客户邮件地址经"点"修改后的版本。
接着,攻击者将新账户的设备名称设置为一段原始HTML代码。当Robinhood生成"未识别活动"通知邮件时,模板会在未对设备名称进行净化处理的情况下直接插入,从而渲染出恶意HTML。
用Sabbah的话来说,结果就是看起来像是"一封来自 [email protected] 的真实邮件,DKIM通过、SPF通过、DMARC通过,并附带钓鱼CTA"。
该CTA即"行动号召",当然是一封伪造的安全警报邮件,内含一个超链接,指向由攻击者控制的网页,用于收集登录凭证和双重认证码。
与几乎所有网络钓鱼活动一样,最终目的是盗取客户资金——在本案中,是从其Robinhood账户中窃取。
阅读更多:Robinhood斥资6.05亿美元收购Sam Bankman-Fried的股份
点击任何电子邮件前请三思
许多加密货币意见领袖对这些具有欺骗性的邮件发出了警告。
Ripple的David Schwartz扩大了警示范围。他发文称:"任何看似来自Robinhood的邮件(实际上可能确实来自其邮件系统)都是网络钓鱼企图。"在引用Sabbah的帖子时,Schwartz补充道:"这相当狡猾。"
2025年4月,以太坊名称服务首席开发员Nick Johnson记录了一个几乎完全相同的漏洞利用案例,涉及看似由谷歌自身发出的电子邮件。
攻击者使用了一系列类似的技巧,借助谷歌自身的基础设施,从 [email protected] 发送经DKIM签名的钓鱼邮件。
当时的教训,也是现在的教训:无论电子邮件看起来多么真实,都要警惕点击其中的任何链接。
传统的反钓鱼建议告诉用户检查发件人域名并留意认证失败的情况。但这些在此次事件中毫无帮助。域名看起来是真实的,签名看起来是真实的,只有意图是犯罪性的。
Robinhood自身的防诈骗指引告知客户核实发件人的电子邮件域名,并将@robinhood.com列为真实示例。
Protos已联系Robinhood请求置评,但截至发稿前未收到回复。纳斯达克今日交易中,Robinhood普通股开盘相较上周五收盘价持平。
有线索?通过 Protos Leaks 安全发送电子邮件给我们。获取更多深度资讯,请在X、Bluesky 和 Google News 上关注我们,或订阅我们的 YouTube 频道。
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
