新型钓鱼手法曝光：诈骗者借 Gmail 漏洞冒充 Robinhood

新型钓鱼手法曝光：反诈者借 Gmail 漏洞冒充 Robinhood

Robinhood的用户最近得提高警惕了。一种新型的网络钓鱼攻击正在蔓延，它巧妙地结合了Gmail一个鲜为人知的“点别名”功能和Robinhood账户创建流程中的几个漏洞，炮制出极具迷惑性的恶意邮件。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

从周日开始，社交媒体上陆续有Robinhood用户报告，他们收到了来自该平台官方邮件服务器的邮件。这些邮件煞有介事地警告说有“未识别设备”登录了账户，并附上了一个要求用户立即采取行动的按钮。然而，这个按钮指向的却是一个不折不扣的钓鱼网站。

来源： Da vid Gobaud

网络安全研究员兼科技公司首席执行官Alex Eckelberry对此进行了解读。他指出，这场钓鱼活动并非源自黑客对系统的直接入侵，而是反诈者钻了空子。他们利用了Gmail的一项原生特性——即忽略电子邮件地址用户名中的点号——同时结合了Robinhood账户设置中的几个严重漏洞。

这并非孤立事件。实际上，区块链安全公司Hacken本月早些时候的报告已经敲响了警钟：在2026年第一季度，钓鱼和社会工程攻击已然成为加密货币领域最主要的攻击方式，造成的损失高达3.06亿美元。

来源： Alex Eckelberry

黑客创建了虚假的 Robinhood 账户

那么，这场骗局具体是如何运作的呢？Eckelberry解释道，核心在于反诈者使用了一个与目标用户邮箱地址高度相似的电子邮件，在Robinhood上创建了一个新账户。

举个例子就明白了。假设一位Robinhood用户的真实邮箱是“[emailprotected]”。反诈者则会去创建一个不带中间那个点的新账户，比如“[emailprotected]”。

这里的关键在于，Robinhood和Gmail对邮箱地址的“看法”截然不同。对Robinhood来说，带点和不带点的邮箱是完全独立的两个账户。但Gmail的规则是：它会自动忽略邮箱用户名部分的点号。这意味着，发往“[emailprotected]”的邮件，最终会全部进入“[emailprotected]”这个真实用户的收件箱。

反诈者的把戏还没完。为了在Robinhood自动发送给新账户的欢迎或确认邮件中植入钓鱼链接，他们还在账户创建时，往一个名为“设备名称”的可选字段里，塞进了HTML指令。而Gmail在渲染邮件时，会将这些指令识别为格式代码并执行。

来源： Abdel

“最终的结果非常具有欺骗性，” Eckelberry强调，“用户会收到一封来自官方地址‘[emailprotected]’的真实邮件，并且通过了所有SPF、DKIM和DMARC这些严格的邮件安全验证。它看起来百分之百合法，但内容却被‘偷梁换柱’，包含了伪造的警告文本和一个可点击的钓鱼按钮。一旦点击，就会跳转到一个精心伪装的虚假登录页面。”

只有在添加信息后，这封邮件才具有危险性

当然，仅仅访问这个虚假的登录网站，并不会立即导致账户失守。Eckelberry指出，真正的危险发生在用户信以为真，并在那个假网站上输入了自己的密码等敏感信息之后。这时，恶意行为者就能轻松获取这些凭证。

事件发生后，Robinhood在X平台上的官方支持账号于周一发表了声明，确认部分用户收到了来自“[emailprotected]”的伪造邮件，邮件主题为“您最近登录了Robinhood”。公司将问题根源指向了对“账户创建流程”的恶意利用。

声明中明确表示：“这次钓鱼尝试之所以能够发生，是因为有人滥用了我们的账户创建流程。需要强调的是，这并非我们的系统或任何客户账户遭到了入侵，用户的个人信息和资金仍然是安全的，未受影响。”