Robinhood 釣魚攻擊利用 Gmail 點別名特性，偽造官方郵件誘導用戶登入

ChainCatcher 消息，据 Cointelegraph 報導，Robinhood 用戶近期遭遇一輪釣魚攻擊。攻擊者利用 Gmail 忽略郵箱用戶名中 "." 的特性，以及 Robinhood 賬戶創建流程中的漏洞，註冊與目標郵箱高度相似的賬戶，並藉此讓 Robinhood 官方郵件伺服器向受害者收件箱發送帶有釣魚鏈接的偽造提醒郵件。

網絡安全研究員 Alex Eckelberry 表示，該郵件可通過 SPF、DKIM 和 DMARC 驗證，看似來自官方地址。Robinhood 稱，此事並非系統或客戶賬戶遭入侵，用戶資金和個人信息未受影響，但提醒用戶刪除相關郵件，勿點擊可疑鏈接。