Robinhood 遭遇利用 Gmail「點號別名」漏洞的精密網絡釣魚攻擊：官方系統遭反向利用之詐騙警報

Robinhood Markets 將於 2026 年 4 月 28 日公佈業績，目前正因一場利用其自動化系統的精密網絡釣魚攻擊而飽受困擾。這次攻擊利用了 Gmail 處理地址方式的特性，生成看似由 Robinhood 官方網域發出的保安警報，甚至令資深保安專家也感到困惑。

這次網絡釣魚郵件自 2026 年 4 月 26 日起被廣泛觀察到，其形式與官方登入警報幾乎完全相同。郵件包含與實際服務相似的案件 ID 和時間戳，使用戶極難辨別真偽。特別是發件人地址顯示為 Robinhood 的官方地址「noreply@robinhood.com」，這是欺騙用戶信任的核心要素。

保安研究員阿卜杜勒·薩巴 (Abdel Sabbah) 在談到這次攻擊的技術精密程度時，帶著一絲對邪惡意圖的讚賞表示：「在某些方面，它甚至稱得上是『完美』。」

這次攻擊的核心是利用 Gmail 忽略電子郵件地址中點號 (.) 的「點號別名」(dot alias) 技術。例如，Gmail 會將「u.s.e.r@gmail.com」和「user@gmail.com」視為同一個收件箱。攻擊者利用這一特性，在 Robinhood 系統中創建了大量新帳戶，並強制發送官方保安通知郵件。這是因為 Robinhood 的帳戶創建過濾器將這些帶有點號變體的地址識別為不同的帳戶，從而產生了漏洞。

網絡釣魚訊息的主要識別要素

儘管發件地址顯示為官方帳戶，但郵件內的連結隱藏著致命風險。攻擊者誘導用戶訪問虛假的登入網站，試圖竊取密碼等敏感資訊。僅僅訪問網站不會導致帳戶被盜，但一旦在該頁面輸入資訊，控制權就可能落入攻擊者手中。

• 包含顯示「Review Activity Now」字樣的外部連結
• 連接至與 Robinhood 無關且具有如「cweegp」等後綴的惡意網域
• 要求透過外部網站而非官方應用程式輸入敏感資訊
• 異常裝置或位置的登入嘗試通知

Ripple 首席技術官大衛·舒瓦茨 (David Schwartz) 透過其 X (前稱 Twitter) 帳號發布緊急警報，稱「所有看似來自 Robinhood 的電子郵件都可能是網絡釣魚企圖」。他強調郵件極有可能是從 Robinhood 的實際系統中發出的，強烈建議用戶不要點擊郵件中的連結，而是透過官方應用程式檢查帳戶狀態。

Robinhood 於 2026 年 4 月 27 日發表官方聲明，承認帳戶創建流程遭到濫用並導致發送虛假郵件，並向用戶發布了警告。這次保安事故正值 4 月 28 日業績公佈前夕，這將是 HOOD 股價的重要轉折點，引發了市場擔憂，並重新引發了對金融科技公司保安可靠性的討論。

用戶保護及應對措施

如果您點擊了網絡釣魚連結或輸入了資訊，應立即更改 Robinhood 密碼並啟用雙重認證 (2FA)。此外，必須透過官方客戶支援渠道報告事件，並仔細檢查帳戶是否有異常活動。保安專家建議，不要僅僅相信郵件的發件人地址，必須核實連結 URL 的網域。

1. 立即更改 Robinhood 帳戶密碼
2. 設定並加強雙重認證 (2FA)
3. 透過官方支援渠道申報及報告事故
4. 養成直接訪問官方應用程式或網站，而非點擊郵件內連結的習慣

這次事件暴露了金融科技平台在自動化帳戶創建和電子郵件驗證系統中存在的結構性漏洞。未來，金融服務機構面臨著構建更精密的保安過濾系統的挑戰，甚至需要考慮到像 Gmail 這樣的外部郵件服務的特性。用戶也必須嚴格遵守保安守則，以應對日益狡猾的社交工程攻擊。