Robinhood(ロビンフッド)になりすました巧妙なコールバックフィッシング攻撃キャンペーンが、アカウント侵害への恐怖心につけ込み、被害者を攻撃者が管理する電話番号への発信に誘導しています。
このキャンペーンは、Robinhoodのセキュリティアラートを装った不審なメールやSMSから始まります。メッセージでは、ブローカレッジ口座で「異常なサインイン活動」や「盗難の可能性」が検知されたと警告されます。
メッセージには通常、でっち上げのデバイス名やタイムスタンプ、そして即座の対応を求める文言が含まれています。認証情報を窃取するサイトへ誘導するだけでなく、複数の亜種では「アカウント確認」のために記載された電話番号に連絡するよう指示しています。
これはコールバックフィッシングの典型的な手口です。攻撃者はセキュリティ製品の検知をすり抜けるためリンクの使用を避け、代わりにリアルタイムのソーシャルエンジニアリングによって認証情報やワンタイムコードを引き出したり、資金移動を承認させたりできる音声チャネルへとやり取りを移行させます。
Securityconsulting services
被害者が電話をかけると、詐欺師はRobinhoodのサポート担当者になりすまし、VoIPスプーフィングによってもっともらしい発信者IDを表示することがよくあります。
その後、オペレーターは偽の「セキュリティレビュー」と称してユーザーを誘導し、メールアドレス、パスワード、二要素認証コードを聞き出します。
暗号資産を狙った亜種では、被害者に「安全なウォレットの作成」を迫り、攻撃者が管理するアドレスへ資産を移動させます。
LevelBlue SpiderLabsはこの急増を指摘しており、Robinhoodを騙るこうしたソーシャルエンジニアリングは、緊急性と信頼されたブランドを武器にして技術的なメール防御を回避しています。
正当性があるように見えること、時間的なプレッシャー、そして人間の声という組み合わせが、リンクのみを使った従来の手口と比べて成功率を大幅に高めています。
偽のRobinhoodサインインアラート
アナリストらは、Robinhoodのログインポータルを模倣した複数のドメインを確認しています。www-robinhood.cweegpsnko[.]net、www-robinhood.fflroyalty[.]com、robinhood-securelogin[.]comといったなりすましドメインが含まれます。
これらのページは、疑念を抱かれないようRobinhoodの配色やロゴの配置、フォーム項目を忠実に再現しています。
一部のキャンペーンでは、アカウント作成フローの悪用によって、Robinhoodの正規の自動送信「最近のログイン」メールに悪意あるURLを直接注入しています。これにより、送信元エンベロープが[email protected]となるため、フィッシングコンテンツがSPFおよびDKIMのチェックを通過してしまいます。
これらの詐欺に関連する電話番号は、Robinhoodの米国事業とは無関係な外国の国番号を頻繁に使用しています。例えば+243(コンゴ民主共和国)などですが、「米国のサポート」であるかのように提示されます。
「Immediate Action(直ちに対応してください)」といった文言、リンクを有効化するために「Y」と返信するよう求める内容、そして文法の不自然さといったテキスト上の特徴は、2025年から追跡されている過去のRobinhoodフィッシング攻撃の波と一貫しています。
コールバックフィッシングは、攻撃対象を電話網へと移すことで、多くのリンクスキャンやサンドボックス制御を回避します。また、特に発信者が危機の「解決を手伝っている」ように見える場合、人はメールよりも音声でのやり取りを信頼しやすいという心理的傾向も悪用しています。
セキュリティチームにとって、検知の対象はURLや添付ファイルの解析にとどまらず、企業デバイスからの異常な発信通話、特にリスクの高い国際プレフィックスへの発信を監視し、それをフィッシングのテレメトリと関連付けることまで拡張する必要があります。
Securityconsulting services
ユーザーレベルでは、原則は変わりません。不審なアラートに記載された電話番号に、決して自分から発信しないことです。必ず直接robinhood.comにアクセスし、公式アプリ内でアカウントの活動を確認し、検証済みのチャネルを通じてサポートに問い合わせてください。
多要素認証を有効にし、不審なメッセージを[email protected]に報告することで、アカウント乗っ取りが成功する可能性を低減できます。
組織は、外部の電話番号や非標準のドメインを含むRobinhoodを騙るメッセージにフラグを立てるようメールセキュリティルールを更新し、正規の企業は電話でパスワードや2FAコードを要求することはないとユーザーに教育すべきです。
すでにこうした誘いに応じてしまった個人については、Robinhoodの認証情報の変更、接続済みデバイスの確認、MFAが有効になっていない場合は有効化、そして公式サポートを通じてRobinhoodに連絡しアカウントをロックすることが、直ちに取るべき対応となります。
関係当局へインシデントを報告し、ヘッダー情報を保全することは、テイクダウンや脅威インテリジェンスの共有活動に役立ちます。
2019年当時のSOC向けに書かれたSLAをそのまま受け入れるのはもうやめませんか – 2026年版AI SLA ベンダーチェックリストはこちら – 無料の AI SOC SLA ガイドをダウンロード
翻訳元: https://gbhackers.com/fake-robinhood-sign-in-alerts/