Неизвестные хакеры TechCrunch узнал, что взлом учетных записей людей, у которых есть адреса электронной почты AT&T, и использование этого доступа для последующего взлома учетных записей криптовалютной биржи жертвы и кражи их криптовалюты.
В начале месяца анонимный источник сообщил TechCrunch, что банда киберпреступников нашла способ взломать адреса электронной почты любого, у кого есть адреса att.net, sbcglobal.net, bellsouth.net и другие адреса электронной почты AT&T.
По словам осведомителя, хакеры могут это сделать, потому что у них есть доступ к части внутренней сети AT&T, что позволяет им создавать почтовые ключи для любого пользователя. Почтовые ключи — это уникальные учетные данные, которые пользователи электронной почты AT&T могут использовать для входа в свои учетные записи с помощью почтовых приложений, таких как Thunderbird или Outlook, но без необходимости использовать свои пароли.
С помощью почтового ключа цели хакеры могут использовать почтовое приложение, чтобы войти в учетную запись цели и начать сбрасывать пароли для более прибыльных услуг, таких как обмен криптовалютами. В этот момент игра для жертвы заканчивается, так как хакеры могут сбросить пароль учетной записи Coinbase или Gemini жертвы по электронной почте.
Информатор предоставил список предполагаемых жертв. Двое из пострадавших ответили, подтвердив, что их взломали.
Представитель AT&T Джим Кимберли заявил, что компания «выявила несанкционированное создание защищенных почтовых ключей, которые в некоторых случаях можно использовать для доступа к учетной записи электронной почты без пароля».
«Мы обновили наши средства безопасности, чтобы предотвратить эту активность. В качестве меры предосторожности мы также заранее потребовали сбросить пароль для некоторых учетных записей электронной почты», — сказал представитель.
AT&T отказалась сообщить, сколько людей пострадало от этой волны взломов. Но компания «в качестве меры предосторожности» заблокировала некоторые учетные записи электронной почты, вынудив их владельцев сбросить свои пароли.
«Этот процесс уничтожил все созданные защищенные почтовые ключи», — добавил представитель.
Одна жертва сообщила TechCrunch, что хакеры украли 134 000 долларов с его счета в Coinbase. Вторая жертва сказала, что «это повторялось неоднократно с ноября 2022 года — на данный момент, вероятно, 10 раз. Я замечаю, что это было сделано, когда мой клиент Outlook не может «подключиться», и я быстро вхожу в свой [AT&T] сайт и удалите их ключ и создайте новый».
«Очень неприятно, потому что очевидно, что «хакеры» имеют прямой доступ к базе данных или файлам, содержащим эти клиентские ключи Outlook, и хакерам не нужно знать логин пользователя на веб-сайте AT&T, чтобы получить доступ и изменить эти ключи входа в Outlook», — добавила потерпевшая.
Кроме того, несколько человек с адресами электронной почты AT&T и другими связанными адресами электронной почты сообщили на Reddit, что их взломали.
«Здравствуйте, моя электронная почта была скомпрометирована еще в марте этого года, и я сделал все возможное, чтобы сбросить пароль, вопросы безопасности и т. д., но иногда я все еще получаю электронные письма о том, что безопасный почтовый ключ был создан для моей учетной записи без моего ведома. “, – написал один из пользователей. «Они даже удалили уведомление по электронной почте, чтобы я его не видел, но недавно я перешел на другое электронное письмо для обновлений профиля, поэтому у них нет доступа. Похоже, кто-то все еще имеет доступ к моей учетной записи, но как?»
Другой человек написал: «У меня была та же проблема в течение нескольких месяцев, и я только что начал снова, пароль не был изменен, но учетная запись заблокирована, и почтовый ключ продолжает каким-то образом создаваться».
Информатор утверждает, что хакеры могут «сбросить любую» учетную запись электронной почты AT&T и что они заработали от 15 до 20 млн. долл. в украденной криптовалюте. (TechCrunch не смог самостоятельно проверить заявление типстера.)
TechCrunch увидел скриншот, по-видимому, полученный из группового чата Telegram, где один из хакеров утверждает, что у банды «есть вся база данных сотрудников AT&T», которая позволяет им получить доступ к внутреннему порталу AT&T для сотрудников под названием OPUS.
«Единственное, чего нам не хватает, так это сертификата, который является последним ключом к доступу к [AT&T] VPN-серверы», — написал хакер в Telegram-канале, судя по скриншоту.
Осведомитель сообщил, что банда теперь имеет доступ к внутренней сети VPN AT&T.
Кимберли, представитель AT&T, отрицала, что хакеры имели какой-либо доступ к внутренним системам компании. «Для этого эксплойта не было вторжения в какую-либо систему. Злоумышленники использовали доступ через API».
У вас есть дополнительная информация об этих взломах против пользователей электронной почты AT&T? Или другие подобные хаки? Мы хотели бы услышать от вас. Вы можете безопасно связаться с Лоренцо Франчески-Биккьераи через Signal по телефону +1 917 257 1382, через Wickr, Telegram и Wire @lorenzofb или по электронной почте lorenzo@techcrunch.com. Вы также можете связаться с TechCrunch через SecureDrop.