Robinhood网络钓鱼诈骗利用Gmail漏洞攻击用户
realtime news Apr 28, 2026 05:23
黑客利用Gmail的点别名功能和Robinhood账户设置的漏洞,发送经过验证的网络钓鱼邮件,诱骗用户泄露凭证。
一个针对Robinhood用户的复杂网络钓鱼活动已经浮出水面,该活动利用了Gmail的点别名功能漏洞以及Robinhood账户创建流程中的弱点。攻击者能够直接从Robinhood的noreply@robinhood.com电子邮件地址发送网络钓鱼邮件,从而绕过常见的电子邮件安全检查,如SPF、DKIM和DMARC。
关于网络钓鱼邮件的报告从2026年4月27日开始浮现,受影响的用户收到了一封伪造的“未识别设备登录”警告,其中包含指向网络钓鱼网站的链接。该骗局利用了Gmail对电子邮件用户名中点的处理方式——例如“jane.smith@gmail.com”和“janesmith@gmail.com”被视为同一个地址——以及Robinhood账户设置的漏洞。通过使用无点变体的虚假账户,黑客诱使Robinhood向他们的目标发送看似合法的邮件。
网络安全专家Alex Eckelberry解释说,诈骗者在Robinhood账户设置过程中将恶意HTML注入到“设备名称”字段中。这种操作将网络钓鱼链接插入到邮件中,而这些邮件是通过Robinhood的系统基础设施认证的。他说:“结果是一封来自noreply@robinhood.com的真实电子邮件,看起来完全合法,但包含虚假的警告文本和一个功能正常的网络钓鱼按钮。”点击该按钮会将受害者引导到一个伪造的登录网站。
不是系统漏洞,但仍具威胁
Robinhood已确认此网络钓鱼尝试,并将其归因于对账户创建流程的“滥用”,而非系统漏洞。公司表示,没有客户资金或个人信息被泄露。然而,用户被敦促删除可疑邮件,并避免点击任何嵌入链接。那些怀疑自己在网络钓鱼网站上输入了凭证的用户被建议立即重设密码并启用双因素认证。
这一事件加剧了Robinhood在网络安全方面的困境。自2023年以来,模仿该平台的网络钓鱼活动激增,利用了社会工程和技术漏洞。在2021年11月,该公司经历了一次单独的数据泄露事件,暴露了500万用户的电子邮件地址和200万用户的全名。
对加密货币和股票交易者的更广泛影响
Robinhood最新的网络钓鱼事件突显了加密货币和金融领域日益增长的趋势。根据区块链安全公司Hacken的数据,仅在2026年第一季度,网络钓鱼和社会工程攻击就造成了3.06亿美元的损失。这些复杂骗局的增加表明,无论是用户还是平台,都需要采取更强有力的安全措施。
对交易者来说,此次攻击的时间点值得注意。Robinhood于2023年5月推出的24小时交易服务允许用户全天候交易股票和ETF,但也增加了诸如低流动性和非高峰时段交易波动性等风险的暴露。随着平台用户基数的增长(得益于其加密货币产品),Robinhood也成了攻击者的重点目标。
如何保护自己
为了防止网络钓鱼攻击,用户应:
- 为所有账户启用双因素认证。
- 核实邮件发送者,特别是涉及登录警报或账户更改的邮件。
- 将鼠标悬停在嵌入链接上以检查目标地址,避免盲目点击。
- 定期检查账户活动是否存在未经授权的访问。
这一事件再次提醒人们,即使是来自可信来源的电子邮件也可能被利用。随着网络钓鱼技术变得越来越复杂,保持警惕仍是交易者在日益数字化的金融生态系统中保护自己的最佳防线。
Image source: Shutterstock.jpg)