obinhood 钓鱼攻击利用 Gmail “ 点别名 ” 特性，伪造官方邮件诱导用户登录

深潮 TechFlow 消息，4 月 28 日，据 Cointelegraph 报道，Robinhood 用户近期遭遇一轮钓鱼攻击。攻击者利用 Gmail 忽略邮箱用户名中 “ . ” 的特性，以及 Robinhood 账户创建流程中的漏洞，注册与目标邮箱高度相似的账户，并借此让 Robinhood 官方邮件服务器向受害者收件箱发送带有钓鱼链接的伪造提醒邮件。网络安全研究员 Alex Eckelberry 表示，该邮件可通过 SPF、DKIM 和 DMARC 验证，看似来自官方地址。

Robinhood 称，此事并非系统或客户账户遭入侵，用户资金和个人信息未受影响，但提醒用户删除相关邮件，勿点击可疑链接。