詐騙者利用 Gmail dot alias 技巧在釣魚詐騙中冒充 Robinhood

📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯2734 字

來源：David Gobaud 網路安全研究員兼科技公司執行長 Alex Eckelberry 表示，這場網路釣魚攻擊並非駭客入侵的結果，而是利用了 Gmail 忽略電子郵件地址中「點」的特性，以及 Robinhood 帳戶設定中的「幾個嚴重漏洞」。在此之前，區塊鏈安全公司 Hacken 於本月初報告指出，網路釣魚和社交工程攻擊在 2026 年第一季的加密貨幣攻擊中佔據主導地位，造成了 3.06 億美元的損失。來源：Alex Eckelberry Eckelberry 表示，該詐騙手法是詐騙者在 Robinhood 上建立一個與目標對象電子郵件地址極為相似的帳戶。例如，某位 Robinhood 使用者的電子郵件地址為「[email protected]」，詐騙者會使用中間沒有點的電子郵件地址（例如「[email protected]」）建立一個新的 Robinhood 帳戶。雖然 Robinhood 會將它們視為完全獨立的帳戶，但 Gmail 會忽略電子郵件地址使用者名稱部分的點。這意味著詐騙者可以促使 Robinhood 自動發送原本應發往其虛假帳戶的郵件，但這些郵件卻會直接進入目標對象的收件匣。為了將釣魚連結植入新建立 Robinhood 帳戶時發送的自動郵件中，詐騙者會在 Robinhood 的選填欄位「裝置名稱」（device name）中加入 HTML 指令，而 Gmail 會將其視為格式指令。來源：Abdel Eckelberry 說：「結果就是收到一封來自『[email protected]』的真實郵件，且通過了 SPF、DKIM 和 DMARC 驗證。它看起來完全合法，但現在卻包含了被植入的偽造警告文字和一個有效的釣魚按鈕。點擊該按鈕會導向一個偽造的登入網站。」 Eckelberry 表示，僅僅造訪偽造的登入網站並不足以讓駭客取得帳戶存取權，但輸入密碼等敏感資訊可能會讓不法分子有機可乘。相關閱讀：Robinhood 第四季財報未達預期，加密貨幣營收下滑 Robinhood 的 X 支援帳號於週一發布聲明，證實部分使用者收到了一封來自「[email protected]」、主旨為「Your recent login to Robinhood」的偽造郵件，並將此問題歸咎於對「帳戶建立流程」的利用。他們表示：「這次網路釣魚嘗試是透過濫用帳戶建立流程所實現的。這並非我們的系統或客戶帳戶遭到入侵，個人資訊和資金並未受到影響。」「如果您收到了這封郵件，請將其刪除，不要點擊任何可疑連結。如果您已經點擊了可疑連結，或對您的帳戶有任何疑問，請直接透過 Robinhood 應用程式或網站與我們聯繫。」雜誌：使用者是否應該被允許在預測市場中對戰爭和死亡進行下注？

資料狀態✓ 已擷取全文閱讀原文（CoinTelegraph）

🔍歷史類似事件· 關鍵字 + 標的比對1 則

2026-04-27

在用戶回報網路釣魚事件後，Robinhood 股票恐受衝擊

相似度 130%關鍵字 robinhood/phishing

💡 目前用關鍵字 + 標的比對（MVP）· 之後會升級為 embedding 語意搜尋

原始資訊

ID：112802401e

來源：CoinTelegraph

發佈：2026-04-28 04:22:53

分類：一般 · 導出分類 neutral

標的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言