TechFlowからの報道によると、4月28日、Cointelegraphはロビンフッド(Robinhood)のユーザーが最近フィッシング攻撃に遭ったと報じました。攻撃者は、Gmailがメールアドレスのユーザー名部分にある「.」(ドット)を無視するという特性と、ロビンフッドのアカウント作成プロセスにおける脆弱性を悪用し、標的のメールアドレスと極めて類似したアカウントを登録しました。これにより、ロビンフッドの公式メールサーバーが被害者の受信トレイへ、フィッシングリンクを含む偽の通知メールを送信するよう誘導されたのです。サイバーセキュリティ研究者のアレックス・エッケルベリー氏(Alex Eckelberry)は、このメールはSPF、DKIM、DMARCによる検証を通過し、公式アドレスから送信されたように見えたと指摘しています。
ロビンフッドは、今回の事象はシステムや顧客アカウントの不正侵入によるものではなく、ユーザーの資金および個人情報には影響がないと述べています。ただし、関連メールは削除し、疑わしいリンクをクリックしないようユーザーに注意喚起しています。




