Hakerë të panjohur po depërtojnë në llogaritë e njerëzve që kanë adresa emaili të AT&T dhe e përdorin atë akses për të hakuar më pas llogaritë e shkëmbimit të kriptomonedhave të viktimës dhe për të vjedhur kriptomat e tyre, ka mësuar TechCrunch.
Në fillim të muajit, një burim anonim i tha TechCrunch se një bandë kriminelësh kibernetikë kanë gjetur një mënyrë për të hakuar adresat e emailit të kujtdo që ka adresa emaili att.net, sbcglobal.net, bellsouth.net dhe të tjera të AT&T.
Sipas tipsterit, hakerët janë në gjendje ta bëjnë këtë sepse kanë akses në një pjesë të rrjetit të brendshëm të AT&T, i cili u lejon atyre të krijojnë çelësa poste për çdo përdorues. Çelësat e postës janë kredenciale unike që përdoruesit e emailit të AT&T mund t’i përdorin për të hyrë në llogaritë e tyre duke përdorur aplikacione të postës elektronike si Thunderbird ose Outlook, por pa pasur nevojë të përdorin fjalëkalimet e tyre.
Me çelësin e postës së një objektivi, hakerët mund të përdorin një aplikacion emaili për të hyrë në llogarinë e objektivit dhe për të filluar rivendosjen e fjalëkalimeve për shërbime më fitimprurëse, të tilla si shkëmbimet e kriptomonedhave. Në atë moment loja ka mbaruar për viktimën, pasi hakerat më pas mund të rivendosin fjalëkalimin e llogarisë së viktimës në Coinbase ose Gemini përmes emailit.
Informatori ofroi një listë të viktimave të supozuara. Dy nga viktimat u përgjigjën, duke konfirmuar se ishin hakuar.
Zëdhënësi i AT&T Jim Kimberly tha se kompania “identifikoi krijimin e paautorizuar të çelësave të sigurt të postës, të cilët mund të përdoren në disa raste për të hyrë në një llogari emaili pa pasur nevojë për një fjalëkalim”.
“Ne kemi përditësuar kontrollet tona të sigurisë për të parandaluar këtë aktivitet. Si masë paraprake, ne gjithashtu kërkuam në mënyrë proaktive një rivendosje të fjalëkalimit në disa llogari të postës elektronike, “tha zëdhënësi.
AT&T nuk pranoi të thoshte se sa njerëz janë goditur në këtë valë hakerash. Por kompania, “si një masë paraprake”, ka bllokuar disa llogari të postës elektronike, duke i detyruar pronarët e tyre të rivendosin fjalëkalimet e tyre.
“Ky proces fshiu çdo çelës të sigurt të postës që ishte krijuar,” shtoi zëdhënësi.
Një viktimë i tha TechCrunch se hakerat vodhën 134,000 dollarë nga llogaria e tij në Coinbase. Viktima e dytë tha se “ka ndodhur në mënyrë të përsëritur që nga nëntori 2022 – ndoshta 10 herë në këtë pikë. E vërej se është bërë kur klienti im i Outlook dështon të ‘lidhet’ dhe unë identifikohem shpejt në faqen time [AT&T] dhe fshij çelësin e tyre dhe krijoj një të ri.”
“Shumë zhgënjyese sepse është e qartë që ‘hakerët’ kanë qasje të drejtpërdrejtë në bazën e të dhënave ose skedarët që përmbajnë këta çelësa të Outlook të klientit dhe hakerët nuk kanë nevojë të dinë hyrjen në uebsajtin e përdoruesit të AT&T për të hyrë dhe ndryshuar këta çelësa të hyrjes në Outlook.” shtoi viktima.
Gjithashtu, disa njerëz me AT&T dhe adresa të tjera të lidhura me email thanë në Reddit se ata ishin hakuar.
“Përshëndetje, emaili im u komprometua në mars të këtij viti dhe unë kam bërë gjithçka që mundem për të rivendosur fjalëkalimin, pyetjet e sigurisë, etj, por herë pas here ende marr emaile që një çelës i sigurt poste është krijuar në llogarinë time pa dijeninë time ”, ka shkruar një përdorues. “Ata madje do të fshinin njoftimin me email, kështu që unë nuk e shoh atë, por së fundi kam ndryshuar në një email tjetër për përditësimet e profilit, në mënyrë që ata të mos kenë akses. Kjo tingëllon sikur dikush ka ende qasje në llogarinë time, por si?”
Një person tjetër shkroi: “Kam pasur të njëjtin problem për muaj të tërë dhe sapo kam filluar përsëri, fjalëkalimi nuk u ndryshua, por llogaria u bllokua dhe një çelës poste vazhdon të krijohet disi.”
Këshilluesi pretendon se hakerët mund të “rivendosin” çdo llogari të emailit të AT&T dhe se ata kanë bërë midis 15 dhe 20 milionë dollarë kripto të vjedhura. (TechCrunch nuk mund të verifikonte në mënyrë të pavarur pretendimin e informatorit.)
TechCrunch ka parë një pamje nga ekrani që duket se vjen nga një bisedë në grup në Telegram, ku një nga hakerët pretendon se banda “ka të gjithë bazën e të dhënave të punonjësve të AT&T”, e cila i lejon ata të hyjnë në një portal të brendshëm AT&T për punonjësit e quajtur OPUS.
“E vetmja gjë që na mungon është një certifikatë, e cila është çelësi i fundit për të hyrë në serverët [AT&T] VPN,” shkroi hakeri në kanalin Telegram, sipas pamjes së ekranit.
Informatori tha se banda tani ka akses në VPN-në e brendshme të AT&T.
Kimberly, zëdhënësja e AT&T, mohoi që hakerët të kishin akses në sistemet e brendshme të kompanisë. “Nuk ka pasur asnjë ndërhyrje në asnjë sistem për këtë shfrytëzim. Aktorët e këqij përdorën një akses në API.”
