obinhood フィッシング攻撃は Gmail の「エイリアス」機能を利用し、公式メールを偽装してユーザーにログインを誘導している

深潮 TechFlow ニュース、4月28日、Cointelegraphによると、Robinhoodユーザーが最近フィッシング攻撃に遭った。攻撃者はGmailのメールアドレス中の「.」の特性を利用し、Robinhoodアカウント作成の脆弱性を悪用して、ターゲットのメールアドレスに非常に似たアカウントを登録し、その結果、Robinhood公式メールサーバーから被害者の受信箱にフィッシングリンクを含む偽の通知メールを送信させた。サイバーセキュリティ研究者のAlex Eckelberryは、このメールはSPF、DKIM、DMARCの検証を通過しており、公式アドレスから送信されたように見えると述べている。

Robinhoodは、この件はシステムや顧客アカウントの侵害ではなく、ユーザーの資金や個人情報は影響を受けていないと述べ、ユーザーに対して関連メールを削除し、疑わしいリンクをクリックしないよう注意を促している。