Robinhoodのフィッシング詐欺、Gmailのドットトリックを利用して本物のメールを送信

Robinhoodのユーザーは、Gmailのネイティブな「ドットエイリアス」機能とRobinhoodの口座開設プロセスにおける脆弱性を悪用した新しいフィッシング攻撃について警告されています。詐欺師は、Gmailがドットを無視する性質（例：「[email protected]」と「[email protected]」）を利用して、ターゲットのメールアドレスに酷似したメールアドレスで偽のRobinhood口座を作成します。これにより、Robinhoodのシステムは、本来ターゲットに送られるべき自動メールを、詐欺師の偽口座ではなく、ターゲットの受信トレイに送信するように誘導されます。詐欺師は、口座開設時に「デバイス名」フィールドにHTML指示を挿入することで、これらの正規の送信元（[email protected]）から送信されるメールに偽の警告テキストとフィッシングリンクを埋め込みます。これらのメールはSPF、DKIM、DMARCといったセキュリティチェックを通過するため、完全に正規のものに見えます。偽のログインサイトを訪問するだけではアカウントへのアクセスは不可能ですが、パスワードなどの機密情報を入力すると、悪意のある攻撃者にアカウントを乗っ取られる可能性があります。Robinhoodは、これはシステム侵害ではなく、口座開設フローの悪用によるものであると確認しており、個人情報や資金への影響はないと述べています。

(出典：Cointelegraph)