针对罗宾汉的精密钓鱼攻击……域名与认证均通过。

据传 Robinhood 用户在周末期间大量收到看似由公司直接发送的“钓鱼邮件”。这些邮件的发件人地址确实是 @robinhood.com 域名，其认证标头和数字签名(DKIM)等处理正常，从而绕过了垃圾邮件过滤器。

特别是，从 [email protected] 发送的部分邮件，在 Gmail 中甚至自动与过去 Robinhood 的正常安全警告合并到同一个“对话线程”中。几乎没有明显的外部异常迹象，核心问题在于，诱导用户输入登录信息的链接等“内容”本身就是欺诈。

“点号技巧”与 HTML 注入……滥用 Robinhood 通知管道

安全研究员 Abdel Sabbah 在分析此次攻击时，略带阴郁地评价其“相当漂亮（kinda beautiful）”。攻击者首先利用 Gmail 会忽略地址中 @ 前面部分点号（.）的特性（即所谓的“dot trick”），使 [email protected] 和 [email protected] 这类变体地址都能进入同一个收件箱。

问题在于 Robinhood 不像 Gmail 那样对点号变体进行规范化处理。攻击者创建了包含点号的账户，在设备名称（device name）输入栏中植入原始 HTML，并诱导 Robinhood 的“未识别活动”通知邮件模板在不进行单独清理（sanitize）的情况下将其直接插入。说明指出，其结果就构成了一个满足“DKIM 通过、SPF 通过、DMARC 通过”所有条件的、看似“正常发送”的钓鱼邮件。

目标是账户劫持……连 2FA 代码也觊觎的链接

邮件中包含的行动号召（CTA）以虚假安全警告的形式出现，内含指向攻击者控制网页的超链接。这是一种典型手法：用户点击链接并输入登录信息后，不仅账户密码，连双重认证(2FA)代码也会被截获，从而窃取账户访问权限。

与其他钓鱼活动一样，此次攻击的最终目的是访问“用户资金”。Robinhood 账户被认为是主要目标。此案例暴露出，即使是看似正常的指标（域名、认证签名、发送服务器）也可能全部正常，这正在给加密货币投资者和普通投资者敲响警钟。

“看到邮件中的链接，先停下来”……验证习惯是关键

事件分析在社交媒体上迅速扩散，多位加密货币意见领袖也提醒“点击需谨慎”。Ripple 首席技术官 David Schwartz 警告称：“即使是看起来来自 Robinhood 的邮件（甚至可能是通过真实邮件系统发送的）也可能是钓鱼邮件，手法相当巧妙。”

类似案例过去也曾发生。2025年4月，以太坊名称服务(ENS)首席开发者 Nick Johnson 曾披露，有人滥用 Google 基础架构，发送了看似来自 [email protected] 并通过了 DKIM 签名的钓鱼邮件。此次 Robinhood 案例传达的信息同样如此。仅凭发件人域名和认证是否失败来判断并不足够，需要养成习惯：不要立即点击邮件中的链接，而是直接通过应用程序或官方网站登录以再次确认通知。

文章摘要 by TokenPost.ai

🔎 市场解读 - 此案例为通过 Robinhood “正常域名(@robinhood.com)·正常认证(DKIM/SPF/DMARC)”的钓鱼事件，再次证实仅凭邮件技术信任指标无法保证安全 - 交易/钱包/券商账户直接关联资金提取，是钓鱼的首要目标，股票和加密货币投资者均面临相同风险 - 像“邮件线程（对话）合并”这样的 UI 元素可能被滥用，增强信任度以提高点击率，凸显了平台/邮件服务的模板及输入值验证（Sanitize）的重要性 💡 策略要点 - 不要点击邮件中的链接，应直接打开应用程序/官方网站确认通知和安全事件（养成书签/直接输入的习惯） - 若收到“未识别的登录/活动”警告：立即修改密码 → 登出所有会话 → 重置 2FA（如可能优先使用认证器应用/通行密钥） → 检查提现地址/已连接设备 - 即使邮件看似“正常发送”，也要判断内容（要求的操作）是否异常：要求登录/2FA 代码、强调紧急性、诱导前往外部域名，这些都是高风险信号 - 服务运营层面的洞察：防止用户输入值（如设备名）的 HTML 注入（转义/清理），检查邮件模板中用户数据的插入策略，考虑对 Gmail 点号变体进行规范化或防止重复注册 📘 术语整理 - 钓鱼(Phishing)：冒充可信机构/服务，窃取账户信息、认证码等的欺诈技术 - DKIM/SPF/DMARC：验证邮件是否来自“该域名授权的服务器/签名”的认证体系（通过也不代表“内容”安全） - Dot trick（点号技巧）：利用 Gmail 忽略用户 ID 中点号(.)，将其视为同一账号的特性进行攻击的方式 - HTML 注入(Injection)：在输入栏植入 HTML/脚本等，使画面/邮件内容按攻击者意图渲染的漏洞 - 2FA（双重认证）：除密码外，要求额外认证（代码/应用/密钥）的安全手段（也可能被钓鱼窃取代码）

💡 常见问题解答 (FAQ)

Q. 如果邮件通过了 DKIM/SPF/DMARC 验证，那不就是真的吗？ 不是。DKIM/SPF/DMARC 仅仅是确认“邮件是否经过了特定域名的发送系统”的机制，并不能保证邮件内容（链接/说明）是安全的。就像本次案例，一旦服务的通知管道（模板）中混入了恶意内容，就可能生成通过认证的钓鱼邮件。 Q. 收到这种钓鱼邮件时，最安全的确认方法是什么？ 不要点击邮件中的链接，直接登录 Robinhood 应用程序（或通过书签访问的官方网站）查看通知和安全事件。如有必要，通过官方渠道搜索并联系客服，同时将可疑邮件举报为垃圾/钓鱼邮件。 Q. 如果我已经点击了链接并输入了登录信息和 2FA 代码，该怎么办？ 请立即按以下顺序操作：(1) 更改密码，(2) 登出所有设备/会话，(3) 重置 2FA（如可能，优先使用认证器应用/通行密钥等抗钓鱼手段），(4) 检查提现/关联账户、设备、API 访问权限，(5) 确认是否有可疑交易/提现尝试，并向客服报告此安全事故。

TP AI 注意事项 本文总结使用了基于 TokenPost.ai 的语言模型。可能遗漏原文主要内容或与事实存在差异。