Unbekannte Hacker sind TechCrunch hat erfahren, dass in die Konten von Personen mit AT&T-E-Mail-Adressen eingebrochen und dieser Zugriff genutzt wurde, um sich dann in die Konten der Kryptowährungsbörse des Opfers zu hacken und deren Krypto zu stehlen.
Anfang des Monats teilte eine anonyme Quelle TechCrunch mit, dass eine Bande von Cyberkriminellen einen Weg gefunden habe, sich in die E-Mail-Adressen aller zu hacken, die über eine att.net-, sbcglobal.net-, bellsouth.net- und andere AT&T-E-Mail-Adresse verfügen.
Dem Tippgeber zufolge sind die Hacker dazu in der Lage, weil sie Zugriff auf einen Teil des internen Netzwerks von AT&T haben, der es ihnen ermöglicht, Mail-Schlüssel für jeden Benutzer zu erstellen. E-Mail-Schlüssel sind eindeutige Anmeldeinformationen, die E-Mail-Benutzer von AT&T verwenden können sich über E-Mail-Apps wie Thunderbird oder Outlook bei ihren Konten anmeldenaber ohne ihre Passwörter verwenden zu müssen.
Mit dem E-Mail-Schlüssel eines Ziels können sich die Hacker über eine E-Mail-App in das Konto des Ziels einloggen und Passwörter für lukrativere Dienste wie den Austausch von Kryptowährungen zurücksetzen. An diesem Punkt ist das Spiel für das Opfer vorbei, da die Hacker dann das Passwort des Coinbase- oder Gemini-Kontos des Opfers per E-Mail zurücksetzen können.
Der Tippgeber stellte eine Liste mutmaßlicher Opfer zur Verfügung. Zwei der Opfer antworteten und bestätigten, dass sie gehackt wurden.
AT&T-Sprecher Jim Kimberly sagte, das Unternehmen habe „die unbefugte Erstellung sicherer E-Mail-Schlüssel festgestellt, die in einigen Fällen für den Zugriff auf ein E-Mail-Konto verwendet werden können, ohne dass ein Passwort erforderlich ist.“
„Wir haben unsere Sicherheitskontrollen aktualisiert, um diese Aktivität zu verhindern. „Als Vorsichtsmaßnahme haben wir bei einigen E-Mail-Konten auch proaktiv ein Zurücksetzen des Passworts gefordert“, sagte der Sprecher und zwang die Kontoinhaber, ihre Passwörter zurückzusetzen.
AT&T wollte nicht sagen, wie viele Menschen von dieser Hackerwelle betroffen waren. „Durch diesen Vorgang wurden alle erstellten sicheren E-Mail-Schlüssel gelöscht“, fügte der Sprecher hinzu.
Ein Opfer erzählte TechCrunch, dass Hacker 134.000 US-Dollar von seinem Coinbase-Konto gestohlen hätten. Das zweite Opfer sagte: „Seit November 2022 ist es wiederholt passiert – derzeit wahrscheinlich zehnmal.“ Ich bemerke, dass dies geschehen ist, wenn mein Outlook-Client keine Verbindung herstellen kann und ich mich schnell bei meinem anmelde [AT&T] Website, löschen Sie ihren Schlüssel und erstellen Sie einen neuen.“
„Sehr frustrierend, weil es offensichtlich ist, dass die ‚Hacker‘ direkten Zugriff auf die Datenbank oder Dateien haben, die diese Outlook-Schlüssel des Kunden enthalten, und die Hacker nicht die Anmeldedaten der AT&T-Website des Benutzers kennen müssen, um auf diese Outlook-Anmeldeschlüssel zuzugreifen und diese zu ändern.“ fügte das Opfer hinzu.
Auch, mehrere Personen mit AT&T- und anderen verwandten E-Mail-Adressen sagte auf Reddit, dass sie gehackt wurden.
„Hallo, meine E-Mail wurde im März dieses Jahres kompromittiert und ich habe alles getan, was ich konnte, um das Passwort, Sicherheitsfragen usw. zurückzusetzen, aber gelegentlich erhalte ich immer noch E-Mails, dass ohne mein Wissen ein sicherer E-Mail-Schlüssel für mein Konto erstellt wurde “, schrieb ein Benutzer. „Sie haben sogar die E-Mail-Benachrichtigung gelöscht, damit ich sie nicht sehe, aber ich habe kürzlich für Profilaktualisierungen auf eine andere E-Mail umgestellt, sodass sie keinen Zugriff haben. Das hört sich so an, als hätte jemand immer noch Zugriff auf mein Konto, aber wie?“
Eine andere Person schrieb: „Ich habe seit Monaten das gleiche Problem und habe gerade von vorne angefangen. Das Passwort wurde nicht geändert, aber das Konto wurde gesperrt, und irgendwie wird immer wieder ein Mail-Schlüssel erstellt.“
Der Tippgeber behauptet, dass die Hacker „jedes“ AT&T-E-Mail-Konto zurücksetzen können und dass sie zwischen 15 und 20 Millionen US-Dollar an gestohlenen Kryptowährungen verdient haben. (TechCrunch konnte die Behauptung des Tippgebers nicht unabhängig überprüfen.)
TechCrunch hat einen Screenshot gesehen, der offenbar aus einem Telegram-Gruppenchat stammt, in dem einer der Hacker behauptet, dass die Bande „über die gesamte AT&T-Mitarbeiterdatenbank verfügt“, was ihnen den Zugriff auf ein internes AT&T-Portal für angerufene Mitarbeiter ermöglicht OPUS.
„Das Einzige, was uns fehlt, ist ein Zertifikat, das den letzten Schlüssel zum Zugriff darstellt [AT&T] VPN-Server“, schrieb der Hacker laut Screenshot im Telegram-Kanal.
Der Tippgeber sagte, dass die Bande nun Zugriff auf das interne VPN von AT&T habe.
Kimberly, die Sprecherin von AT&T, bestritt, dass die Hacker Zugriff auf interne Unternehmenssysteme gehabt hätten. „Für diesen Exploit gab es keinen Eingriff in ein System. Die böswilligen Akteure nutzten einen API-Zugriff.“
Haben Sie weitere Informationen zu diesen Hacks gegen AT&T-E-Mail-Benutzer? Oder andere ähnliche Hacks? Wir würden uns freuen, von Ihnen zu hören. Sie können Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, über Wickr, Telegram und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können TechCrunch auch über SecureDrop kontaktieren.