目錄
Robinhood 爆出資安外洩事件,不法份子成功繞過郵件驗證機制,透過合法網域寄送夾帶惡意連結的釣魚郵件,試圖誘騙使用者前往釣魚網站以竊取帳戶憑證。
惡意腳本如何繞過驗證機制寄送偽造郵件
週日時,部分使用者收到由 Robinhood 官方網域([email protected])寄出的通知,標題為 Your recent login to Robinhood (您最近登入 Robinhood),由於這些郵件通過了 SPF 與 DKIM 等關鍵郵件安全驗證指標,也是 Robinhood 真正的網域名稱,極度真實,很容易讓用戶不小心點擊受害,郵件內容聲稱偵測到用戶在未知設備上欲登入 Robinhood ,且附上異常的 IP 位址與部分電話號碼,誘使收件者點擊 Review activity now (立即檢查活動)按鈕。
根據相關技術分析,該按鈕指向的網域為 robinhood[.]casevaultreview[.]com,現已無法存取,但初步判斷其目的在於蒐集使用者的登入資訊。
帳戶註冊欄位過濾失效導致被注入 HTML 代碼攻擊
此漏洞源於 Robinhood 新帳戶註冊流程中的輸入檢查機制不全。攻擊者在註冊新帳戶時,刻意修改裝置中繼資料(Device Metadata)欄位,將未經處理的 HTML 程式碼嵌入其中。當 Robinhood 系統自動發送帳戶確認郵件時,該惡意代碼會直接呈現在郵件內的 Device (裝置)欄位中。透過此種 HTML Injection 方式,攻擊者能將合法的官方電子郵件修改成虛假的警告訊息,此手法利用了系統對特定欄位清理(Sanitize)的疏忽,讓原本用於資訊紀錄的空間成為釣魚攻擊的跳板。
過往電郵外洩用戶成為被攻擊對象
為了精準打擊 Robinhood 現有用戶,攻擊者疑似利用了過往外洩的電子郵件名單。2021 年 11 月,該平臺曾發生約 700 萬名用戶資料遭竊取的事件,相關資訊隨後在駭客論壇流傳。此外,攻擊者進一步結合 Gmail 的點別名(Dot Aliases)特性,意即在電子郵件地址中增加句點不會改變收件目的地,但對註冊系統而言卻被視為不同的帳號。這項特性讓攻擊者能使用同一組電子郵件的各種變體重複註冊流程,確保釣魚郵件能準確投遞至預期的收件人信箱,規避單一郵件地址重複註冊的偵測限制。
Robinhood 官方稱已修復漏洞
Robinhood 隨後在社羣平臺 X 發佈聲明,坦承帳戶創建流程遭到濫用。官方強調本次事件屬於網路釣魚(Phishing)攻擊,公司內部系統與客戶資產並未遭到入侵,用戶個人資訊與資金目前安全無虞。針對此項缺失,技術團隊已完成漏洞修復,從帳戶確認郵件中移除容易被植入代碼的「裝置」資訊欄位。官方呼籲,使用者若收到標題異常或內容存疑的登入通知郵件,應直接將其刪除,切勿點擊任何不明連結,以維護資產安全。
