invadir as contas de pessoas que possuem endereços de e-mail da AT&T e usar esse acesso para invadir as contas da exchange de criptomoedas da vítima e roubar suas criptomoedas, descobriu o TechCrunch.
No início do mês, uma fonte anônima disse ao TechCrunch que uma gangue de cibercriminosos encontrou uma maneira de invadir os endereços de e-mail de qualquer pessoa que tenha att.net, sbcglobal.net, bellsouth.net e outros endereços de e-mail da AT&T.
Segundo o informante, os hackers conseguem fazer isso porque têm acesso a uma parte da rede interna da AT&T, que permite criar chaves de e-mail para qualquer usuário. As chaves de e-mail são credenciais exclusivas que os usuários de e-mail da AT&T podem usar para fazer login em suas contas usando aplicativos de e-mail como Thunderbird ou Outlook, mas sem precisar usar suas senhas.
Com a chave de e-mail de um alvo, os hackers podem usar um aplicativo de e-mail para fazer login na conta do alvo e começar a redefinir senhas para serviços mais lucrativos, como trocas de criptomoedas. Nesse ponto, o jogo acabou para a vítima, pois os hackers podem redefinir a senha da conta Coinbase ou Gemini da vítima por e-mail.
O informante forneceu uma lista de supostas vítimas. Duas das vítimas responderam, confirmando que foram hackeadas.
O porta-voz da AT&T, Jim Kimberly, disse que a empresa “identificou a criação não autorizada de chaves de e-mail seguras, que podem ser usadas em alguns casos para acessar uma conta de e-mail sem a necessidade de uma senha”.
“Atualizamos nossos controles de segurança para evitar essa atividade. Como precaução, também exigimos proativamente uma redefinição de senha em algumas contas de e-mail”, disse o porta-voz.
A AT&T se recusou a dizer quantas pessoas foram atingidas nesta onda de hacks. Mas a empresa, “por precaução”, bloqueou algumas contas de e-mail, obrigando seus proprietários a redefinir suas senhas.
“Esse processo eliminou todas as chaves de e-mail seguras que haviam sido criadas”, acrescentou o porta-voz.
Uma vítima disse ao TechCrunch que os hackers roubaram $ 134.000 dólares de sua conta Coinbase. A segunda vítima disse que “isso tem acontecido repetidamente desde novembro de 2022 – provavelmente 10 vezes neste momento. Percebo que foi feito quando meu cliente Outlook falha ao ‘conectar’ e eu rapidamente faço login no meu [AT&T] site e exclua sua chave e crie uma nova.”
“Muito frustrante porque é óbvio que os ‘hackers’ têm acesso direto ao banco de dados ou arquivos que contêm essas chaves do Outlook do cliente, e os hackers não precisam saber o login do site da AT&T do usuário para acessar e alterar essas chaves de login do Outlook,” acrescentou a vítima.
Além disso, várias pessoas com AT&T e outros endereços de e-mail relacionados disseram no Reddit que foram hackeados.
“Olá, meu e-mail foi comprometido em março deste ano e fiz tudo o que pude para redefinir a senha, questões de segurança, etc., mas ocasionalmente ainda recebo e-mails informando que uma chave de e-mail segura foi criada em minha conta sem meu conhecimento ”, escreveu um usuário. “Eles até excluíam a notificação por e-mail para que eu não a visse, mas recentemente mudei para outro e-mail para atualizações de perfil, para que eles não tenham acesso. Parece que alguém ainda tem acesso à minha conta, mas como?”
Outra pessoa escreveu: “Tenho o mesmo problema há meses e acabei de começar de novo, a senha não foi alterada, mas a conta foi bloqueada e uma chave de correio continua sendo criada de alguma forma.”
O informante afirma que os hackers podem “redefinir qualquer” conta de e-mail da AT&T e que eles ganharam entre US$ 15 e US$ 20 milhões em criptografia roubada. (O TechCrunch não pôde verificar independentemente a afirmação do informante.)
O TechCrunch viu uma captura de tela aparentemente proveniente de um bate-papo em grupo do Telegram, onde um dos hackers afirma que o gand “tem todo o banco de dados de funcionários da AT&T”, o que lhes permite acessar um portal interno da AT&T para funcionários chamado OPUS.
“A única coisa que falta é um certificado, que é a última chave para acessar o [AT&T] Servidores VPN”, escreveu o hacker no canal Telegram, de acordo com a captura de tela
O informante disse que a turma agora tem acesso à VPN interna da AT&T.
Kimberly, porta-voz da AT&T, negou que os hackers tivessem qualquer acesso aos sistemas internos da empresa. “Não houve invasão em nenhum sistema para esta exploração. Os malfeitores usaram um acesso à API.”
Você tem mais informações sobre esses hacks contra usuários de e-mail da AT&T? Ou outros hacks semelhantes? Nós adoraríamos ouvir de você. Você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal em +1 917 257 1382, ou via Wickr, Telegram e Wire @lorenzofb, ou e-mail [email protected]. Você também pode entrar em contato com o TechCrunch via SecureDrop.