网络钓鱼警告
Ripple的前首席技术官大卫·施瓦茨(David Schwartz)警告称,针对Robinhood用户的一场网络钓鱼活动正在进行。这些邮件看似来自Robinhood的合法通信,尤其是在该公司发布财报之前。
攻击细节
施瓦茨表示,这次攻击涉及的邮件似乎是从Robinhood的系统发出的,并且通过了SPF、DKIM和DMARC等身份验证检查,使得收件人误以为这些信息是真实的。他在X平台上发文称:
“警告:任何看似来自Robinhood的邮件(可能确实来自他们的邮件系统)都是网络钓鱼尝试。”
施瓦茨分享的细节显示,这些邮件包含登录警报,列出了时间、设备和案例ID,并提示用户“立即查看活动”。邮件的布局和品牌形象与官方通信相似,但嵌入的按钮据称会启动一个网络钓鱼序列,旨在捕获用户凭证。
攻击方式分析
施瓦茨解释了这种不寻常的投递方式,他认为这些邮件“以某种方式注入了Robinhood的实际邮件基础设施”,并将这一漏洞描述为“相当狡猾”。根据他的观察,能够通过标准身份验证检查增加了用户信任这些通信的可能性。
施瓦茨引用的Abdel Sabbah的见解指出了一种可能的攻击向量,涉及Gmail的“点技巧”,该技巧允许同一电子邮件地址的多个变体。Sabbah表示,攻击者利用这些变体创建了一个Robinhood账户,并在设备名称中嵌入了恶意HTML代码。根据Sabbah的说法,Robinhood的系统并未对该字段进行清理,导致HTML有效载荷在从[电子邮件保护]发送的官方邮件中呈现。
持续的网络钓鱼风险
结果是一个完全通过身份验证的消息,看似合法,但包含隐藏的恶意元素。网络钓鱼攻击仍然对加密货币用户构成持续风险,最近几天在多个钱包平台上报告了多起此类活动。
正如crypto.news之前报道的,MetaMask用户也遭遇了一场网络钓鱼活动,该活动推广了一个虚假的双因素认证过程,区块链安全公司SlowMist指出。这些伪造的邮件使用了MetaMask的品牌形象,并包含一个倒计时计时器,旨在迫使用户立即采取行动。
SlowMist表示,点击“立即启用2FA”提示的受害者被重定向到一个恶意网站,该网站请求他们的种子短语,从而使攻击者完全访问钱包资金。该公司指出,此类活动通常依赖于小的不一致性,包括拼写错误的域名和不寻常的发件人地址,以绕过初步审查。
