今週末、Robinhoodの顧客は特に巧妙なフィッシングメールを受け取りました。そのメッセージは同社から直接送信されたように見え、認証済みのヘッダーを備え、正しく署名され、正規の送信者アドレスが含まれ、正規のメールサーバーから送信され、スパムフィルターにも引っかかりませんでした。
さらに悪いことに、[email protected]からのメールは、GmailによってRobinhoodからの正規の過去のセキュリティーアラートと同じ会話スレッドに自動的に振り分けられました。
このメールで不正だったのは、わかりにくい技術的な不規則性と、ログイン情報を求めるフィッシングの行動喚起(CTA)というその内容だけでした。
日曜日の夜までに、ハッカーはRobinhood自身の通知パイプラインを利用して攻撃を実行しました。
この脆弱性の分析はその後すぐにソーシャルメディアで拡散しました。
Robinhoodのフィッシングメールは「ある意味美しかった」
セキュリティー研究者のAbdel Sabbah氏はこの件の分析を投稿し、不穏な意味合いを込めて「ある意味美しい」と表現しました。残念ながら、彼は正しかったのです。
この攻撃を作り上げるために、ハッカーはまずGmailの「ドットトリック」を利用しました。これはGmailがよく知られているGoogleの機能で、[email protected]、[email protected]、[email protected]を同じ受信トレイに振り分けるというものです。
Gmailはインターネットの他のサービスとは異なり、@記号の前のアドレス部分のドットを無視するため、これらのバリエーションはすべて同じ受信トレイに届きます。
GmailとはことなりRobinhoodはドット付きのバリアントを正規化しないため、攻撃者はRobinhoodの正規の顧客メールアドレスの「ドット」を変えたバージョンを使用しました。
次に、攻撃者は新しいアカウントのデバイス名を生のHTMLのブロックに設定しました。Robinhoodの「不明なアクティビティ」メールが生成される際、テンプレートはそのデバイス名をサニタイズせずに挿入するため、悪意のあるHTMLが描画されてしまいます。
Sabbah氏の言葉を借りれば、その結果は「[email protected]からの本物のメールで、DKIM合格、SPF合格、DMARC合格、フィッシングCTA付き」に見えるものでした。
そのCTA、つまり「行動喚起」とは、もちろん、ログイン認証情報と2段階認証コードを収集する攻撃者が管理するウェブページへのハイパーリンクが含まれた偽のセキュリティーアラートメールです。
最終的な目的は、ほぼすべてのフィッシングキャンペーンと同様に、顧客の資金を盗むこと——この場合はRobinhoodのアカウントからでした。
続きを読む: RobinhoodがSam Bankman-Friedの株式を6億500万ドルで買収
メールのリンクをクリックする前によく考えよう
多くの暗号資産インフルエンサーが、巧妙なメールについて人々に警告しました。
RippleのDavid Schwartz氏は警告を広めました。「Robinhoodから送られてきたように見えるメール(実際にRobinhoodのメールシステムから送信されている場合も含む)はフィッシング詐欺の試みです」と彼は投稿しました。Sabbah氏のスレッドを引用し、Schwartz氏は「かなり巧妙だ」と付け加えました。
2025年4月、Ethereum Name ServiceのリードデベロッパーであるNick Johnson氏は、Google自身から送信されたように見えるメールを使った、ほぼ同一の悪用事例を文書化しました。
攻撃者は同様の一連のトリックを使い、Googleのインフラを通じて[email protected]からDKIM署名済みのフィッシングメールを配信しました。
あの時の教訓は今も変わりません。どれほど本物らしく見えても、メール内のリンクはクリックしないよう注意してください。
従来のフィッシング対策のアドバイスでは、送信者ドメインを確認し、認証の失敗を探すようユーザーに伝えています。しかし今回はそのどれも役に立ちませんでした。ドメインは本物に見えました。署名も本物に見えました。犯罪的だったのは意図だけでした。
Robinhood自身の詐欺対策ガイダンスでは、送信者のメールドメインを確認するよう顧客に伝え、@robinhood.comを正規の例として挙げています。
Protosはコメントを求めてRobinhoodに連絡しましたが、掲載時点では返答を受け取っていません。本日のナスダック取引では、Robinhoodの普通株は金曜日の終値と比べてほぼ横ばいで始値を付けました。
ヒントがありますか? Protos Leaks経由で安全にメールをお送りください。より詳しいニュースはX、Bluesky、Google Newsでフォローするか、YouTubeチャンネルをサブスクリプションしてください。
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
