Robinhood爆出资安外泄事件，不法份子成功绕过邮件验证机制，透过合法域名寄送夹带恶意连结的钓鱼邮件，试图诱骗使用者前往钓鱼网站以窃取帐户凭证。

恶意脚本如何绕过验证机制寄送伪造邮件

周日时，部分使用者收到由Robinhood 官方域名（noreply@robinhood.com ）寄出的通知，标题为Your recent login to Robinhood (您最近登入Robinhood），由于这些邮件通过了SPF 与DKIM 等关键邮件安全验证指标，也是Robinhood 真正的域名名称，极度真实，很容易让用户不小心点击受害，邮件内容声称侦测到用户在未知设备上欲登入Robinhood ，且附上异常的IP 位址与部分电话号码，诱使收件者点击Review activity now (立即检查活动）按钮。

根据相关技术分析，该按钮指向的域名为robinhood[.]casevaultreview[.]com，现已无法存取，但初步判断其目的在于搜集使用者的登入资讯。

帐户注册栏位过滤失效导致被注入HTML 代码攻击

此漏洞源于Robinhood 新帐户注册流程中的输入检查机制不全。攻击者在注册新帐户时，刻意修改装置中继资料（Device Metadata）栏位，将未经处理的HTML 程式码嵌入其中。当Robinhood 系统自动发送帐户确认邮件时，该恶意代码会直接呈现在邮件内的Device (装置）栏位中。透过此种HTML Injection 方式，攻击者能将合法的官方电子邮件修改成虚假的警告讯息，此手法利用了系统对特定栏位清理（Sanitize）的疏忽，让原本用于资讯纪录的空间成为钓鱼攻击的跳板。

过往电邮外泄用户成为被攻击对象

为了精准打击Robinhood 现有用户，攻击者疑似利用了过往外泄的电子邮件名单。 2021 年11 月，该平台曾发生约700 万名用户资料遭窃取的事件，相关资讯随后在骇客论坛流传。此外，攻击者进一步结合Gmail 的点别名（Dot Aliases）特性，意即在电子邮件地址中增加句点不会改变收件目的地，但对注册系统而言却被视为不同的帐号。这项特性让攻击者能使用同一组电子邮件的各种变体重复注册流程，确保钓鱼邮件能准确投递至预期的收件人信箱，规避单一邮件地址重复注册的侦测限制。

Robinhood 官方称已修复漏洞

Robinhood 随后在社群平台X 发布声明，坦承帐户创建流程遭到滥用。官方强调本次事件属于网络钓鱼（Phishing）攻击，公司内部系统与客户资产并未遭到入侵，用户个人资讯与资金目前安全无虞。针对此项缺失，技术团队已完成漏洞修复，从帐户确认邮件中移除容易被植入代码的「装置」资讯栏位。官方呼吁，使用者若收到标题异常或内容存疑的登入通知邮件，应直接将其删除，切勿点击任何不明连结，以维护资产安全。

本文链接地址：https://www.wwsww.cn/hqfx/38506.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。