ゲートニュース メッセージ、4月28日 — 最近、Robinhoodのユーザーが、Gmailのドット無視機能とRobinhoodの口座作成プロセスにおける脆弱性を悪用するフィッシング攻撃の被害に遭っています。攻撃者は、標的のメールアドレスにほぼ一致するアカウントを登録し、Robinhoodのメールサーバーをだまして不正なセキュリティアラート(フィッシングリンクを含む)を被害者の受信箱に届けさせることが可能になりました。
サイバーセキュリティ研究者のAlex Eckelberryによると、悪意のあるメールはSPF、DKIM、DMARCの検証チェックを通過するため、公式のRobinhoodアドレスから送信されたように見えます。この認証の回避により、攻撃の信頼性が大幅に高まっています。
Robinhoodは、システム侵害や顧客アカウントの侵害は発生していないことを確認しており、ユーザーの資金と個人情報は安全なままです。同プラットフォームは、ユーザーに対し疑わしいメールを削除し、問題のあるリンクをクリックしないよう助言しています。
