Unbekannte Hacker sind Tech hat gelernt, in die Konten von Personen einzubrechen, die AT&T-E-Mail-Adressen haben, und diesen Zugang zu nutzen, um sich dann in die Konten der Kryptowährungsbörse des Opfers zu hacken und ihre Krypto zu stehlen.
Anfang des Monats teilte eine anonyme Quelle Tech mit, dass eine Bande von Cyberkriminellen einen Weg gefunden hat, sich in die E-Mail-Adressen von jedem zu hacken, der eine att.net-, sbcglobal.net-, bellsouth.net- und andere AT&T-E-Mail-Adressen hat.
Laut dem Tippgeber sind die Hacker dazu in der Lage, weil sie Zugriff auf einen Teil des internen Netzwerks von AT&T haben, was es ihnen ermöglicht, Mail-Schlüssel für jeden Benutzer zu erstellen. E-Mail-Schlüssel sind eindeutige Anmeldeinformationen, die E-Mail-Benutzer von AT&T verwenden können sich mit E-Mail-Apps wie Thunderbird oder Outlook bei ihren Konten anzumeldenaber ohne ihre Passwörter verwenden zu müssen.
Mit dem E-Mail-Schlüssel eines Ziels können sich die Hacker über eine E-Mail-App beim Konto des Ziels anmelden und mit dem Zurücksetzen von Passwörtern für lukrativere Dienste wie den Austausch von Kryptowährungen beginnen. An diesem Punkt ist das Spiel für das Opfer vorbei, da die Hacker dann das Passwort des Coinbase- oder Gemini-Kontos des Opfers per E-Mail zurücksetzen können.
Der Tippgeber legte eine Liste mutmaßlicher Opfer vor. Zwei der Opfer antworteten und bestätigten, dass sie gehackt wurden.
Jim Kimberly, Sprecher von AT&T, sagte, dass das Unternehmen „die unbefugte Erstellung sicherer E-Mail-Schlüssel identifiziert hat, die in einigen Fällen verwendet werden können, um auf ein E-Mail-Konto zuzugreifen, ohne ein Passwort zu benötigen“.
„Wir haben unsere Sicherheitskontrollen aktualisiert, um diese Aktivität zu verhindern. Als Vorsichtsmaßnahme haben wir auch proaktiv ein Zurücksetzen des Passworts für einige E-Mail-Konten gefordert“, sagte der Sprecher.
AT&T lehnte es ab zu sagen, wie viele Menschen von dieser Hackerwelle betroffen waren. Aber das Unternehmen hat „vorsorglich“ einige E-Mail-Konten gesperrt und ihre Besitzer gezwungen, ihre Passwörter zurückzusetzen.
„Dieser Prozess hat alle erstellten sicheren E-Mail-Schlüssel gelöscht“, fügte der Sprecher hinzu.
Ein Opfer sagte gegenüber Tech, dass Hacker 134.000 Dollar von seinem Coinbase-Konto gestohlen hätten. Das zweite Opfer sagte, dass „es seit November 2022 wiederholt passiert ist – zu diesem Zeitpunkt wahrscheinlich 10 Mal. Ich bemerke, dass dies geschehen ist, wenn mein Outlook-Client keine Verbindung herstellen kann, und ich mich schnell bei meinem anmelde [AT&T] Seite und lösche ihren Schlüssel und erstelle einen neuen.“
„Sehr frustrierend, weil es offensichtlich ist, dass die ‚Hacker‘ direkten Zugriff auf die Datenbank oder Dateien haben, die diese Kunden-Outlook-Schlüssel enthalten, und die Hacker müssen die AT&T-Website-Anmeldung des Benutzers nicht kennen, um auf diese Outlook-Anmeldeschlüssel zuzugreifen und sie zu ändern.“ fügte das Opfer hinzu.
Auch, mehrere Leute mit AT&T und anderen verwandten E-Mail-Adressen sagte auf Reddit, dass sie gehackt wurden.
„Hallo, meine E-Mail wurde bereits im März dieses Jahres kompromittiert und ich habe alles in meiner Macht Stehende getan, um das Passwort, die Sicherheitsfragen usw. zurückzusetzen, aber gelegentlich erhalte ich immer noch E-Mails, dass ohne mein Wissen ein sicherer E-Mail-Schlüssel auf meinem Konto erstellt wurde “, schrieb ein Nutzer. „Sie würden sogar die E-Mail-Benachrichtigung löschen, damit ich sie nicht sehe, aber ich habe kürzlich zu einer anderen E-Mail für Profilaktualisierungen gewechselt, damit sie keinen Zugriff haben. Das hört sich so an, als hätte jemand immer noch Zugriff auf mein Konto, aber wie?“
Eine andere Person schrieb: „Ich habe seit Monaten das gleiche Problem und habe gerade wieder angefangen, das Passwort wurde nicht geändert, aber das Konto wurde gesperrt und es wird immer wieder ein Mail-Schlüssel erstellt.“
Der Tippgeber behauptet, dass die Hacker jedes AT&T-E-Mail-Konto „zurücksetzen“ können und dass sie zwischen 15 und 20 Millionen Dollar an gestohlener Krypto verdient haben. (Tech konnte die Behauptung des Tippgebers nicht unabhängig überprüfen.)
Tech hat einen Screenshot gesehen, der anscheinend aus einem Telegram-Gruppenchat stammt, in dem einer der Hacker behauptet, dass die Bande „die gesamte AT&T-Mitarbeiterdatenbank hat“, was ihnen den Zugriff auf ein internes AT&T-Portal für angerufene Mitarbeiter ermöglicht OPUS.
„Das Einzige, was uns fehlt, ist ein Zertifikat, das der letzte Schlüssel zum Zugriff auf die ist [AT&T] VPN-Server“, schrieb der Hacker laut Screenshot im Telegram-Kanal.
Der Tippgeber sagte, dass die Bande jetzt Zugriff auf das interne VPN von AT&T hat.
Kimberly, die Sprecherin von AT&T, bestritt, dass die Hacker Zugriff auf interne Unternehmenssysteme hatten. „Für diesen Exploit gab es kein Eindringen in irgendein System. Die schlechten Schauspieler nutzten einen API-Zugriff.“
Haben Sie weitere Informationen zu diesen Hacks gegen E-Mail-Benutzer von AT&T? Oder andere ähnliche Hacks? Wir würden uns freuen, von Ihnen zu hören. Sie können Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Wickr, Telegram und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.