Robinhood 网络钓鱼诈骗利用 Gmail 点号技巧发送真实邮件

Robinhood 用户正成为一项复杂网络钓鱼诈骗的受害者，该诈骗利用了 Gmail 的“点号别名”功能和 Robinhood 账户创建流程中的漏洞。诈骗者使用看似与合法用户电子邮件地址相同的电子邮件地址创建虚假 Robinhood 账户，这是因为 Gmail 会忽略点号（例如，“[email protected]” vs “[email protected]”）。这使得他们能够欺骗 Robinhood 系统将自动发送的电子邮件（如未识别的设备登录警告）发送到用户的真实收件箱。通过在账户设置期间在“设备名称”字段中嵌入 HTML 指令，诈骗者可以将虚假的警告文本和网络钓鱼链接注入到这些电子邮件中，这些电子邮件源自 Robinhood 合法的“[email protected]”地址，并通过了 SPF、DKIM 和 DMARC 等安全检查。虽然仅仅收到邮件或访问网络钓鱼网站并不危险，但在虚假登录页面输入敏感信息可能会危及用户账户。Robinhood 已确认此问题，并表示这是对账户创建流程的利用，并非系统泄露，个人信息和资金未受影响。

(来源：Cointelegraph)