TechCrunch دریافته است که هکرهای ناشناس به حساب های افرادی که آدرس ایمیل AT&T دارند نفوذ می کنند و از این دسترسی برای هک کردن حساب های صرافی ارز دیجیتال قربانی و سرقت رمزنگاری آنها استفاده می کنند.
در ابتدای ماه، یک منبع ناشناس به TechCrunch گفت که گروهی از مجرمان سایبری راهی برای هک کردن آدرس ایمیل هر کسی که دارای آدرسهای ایمیل att.net، sbcglobal.net، bellsouth.net و سایر آدرسهای AT&T است، پیدا کردهاند.
به گفته هکرها، هکرها می توانند این کار را انجام دهند زیرا به بخشی از شبکه داخلی AT&T دسترسی دارند که به آنها امکان می دهد کلیدهای ایمیل را برای هر کاربری ایجاد کنند. کلیدهای ایمیل اعتبار منحصر به فردی هستند که کاربران ایمیل AT&T می توانند از آنها برای ورود به حساب های خود با استفاده از برنامه های ایمیل مانند Thunderbird یا Outlook استفاده کنند، اما بدون نیاز به استفاده از رمز عبور خود.
با کلید ایمیل یک هدف، هکرها می توانند از یک برنامه ایمیل برای ورود به حساب هدف استفاده کنند و شروع به تنظیم مجدد رمزهای عبور برای خدمات سودآورتر، مانند مبادلات ارزهای دیجیتال کنند. در آن مرحله، بازی برای قربانی تمام می شود، زیرا هکرها می توانند رمز عبور حساب Coinbase یا Gemini قربانی را از طریق ایمیل بازنشانی کنند.
کارشناس اطلاعات فهرستی از قربانیان ادعایی ارائه کرد. دو نفر از قربانیان پاسخ دادند و تایید کردند که هک شده اند.
جیم کیمبرلی، سخنگوی AT&T گفت که این شرکت “ایجاد غیرمجاز کلیدهای ایمیل ایمن را شناسایی کرده است که در برخی موارد می توان از آنها برای دسترسی به حساب ایمیل بدون نیاز به رمز عبور استفاده کرد.”
ما کنترل های امنیتی خود را برای جلوگیری از این فعالیت به روز کرده ایم. به عنوان یک اقدام احتیاطی، ما همچنین به طور فعال نیاز به بازنشانی رمز عبور در برخی از حسابهای ایمیل داریم.»
AT&T از بیان اینکه چند نفر در این موج هک ها ضربه خورده اند خودداری کرد. اما این شرکت “به عنوان یک اقدام احتیاطی” برخی از حساب های ایمیل را قفل کرده است و صاحبان آنها را مجبور به تنظیم مجدد رمز عبور خود کرده است.
این سخنگو افزود: «این فرآیند تمامی کلیدهای ایمیل ایمن ایجاد شده را از بین برد.
یکی از قربانیان به TechCrunch گفت که هکرها 134000 دلار از حساب Coinbase او را سرقت کرده اند. قربانی دوم گفت: «از نوامبر 2022 به طور مکرر اتفاق افتاده است – احتمالاً 10 بار در این مرحله. متوجه می شوم که وقتی مشتری Outlook من موفق به “اتصال” نمی شود این کار انجام شده است و من به سرعت به سیستم خود وارد می شوم [AT&T] سایت و کلید آنها را حذف کنید و یک کلید جدید ایجاد کنید.
“بسیار ناامید کننده است زیرا واضح است که “هکرها” به پایگاه داده یا فایل های حاوی این کلیدهای Outlook مشتری دسترسی مستقیم دارند و هکرها برای دسترسی و تغییر این کلیدهای ورود به سیستم Outlook نیازی به دانستن ورود به وب سایت AT&T کاربر ندارند.” قربانی افزود.
همچنین چندین نفر با AT&T و سایر آدرس های ایمیل مرتبط در Reddit گفتند که هک شده اند.
«سلام، ایمیل من در ماه مارس سال جاری در معرض خطر قرار گرفت و من تمام تلاشم را برای بازنشانی رمز عبور، سؤالات امنیتی و غیره انجام دادهام، اما گاهی اوقات هنوز ایمیلهایی دریافت میکنم مبنی بر اینکه یک کلید ایمیل امن بدون اطلاع من در حساب من ایجاد شده است. یکی از کاربران نوشت. “آنها حتی اعلان ایمیل را حذف می کنند، بنابراین من آن را نمی بینم، اما اخیراً برای به روز رسانی نمایه به ایمیل دیگری تغییر داده ام تا آنها دسترسی نداشته باشند. به نظر می رسد که هنوز کسی به حساب من دسترسی دارد، اما چگونه؟”
شخص دیگری نوشت: «من ماههاست که همین مشکل را داشتم و تازه دوباره شروع کردم، رمز عبور تغییر نکرد، اما حساب قفل شد و یک کلید ایمیل همچنان ایجاد میشود.»
کارشناس اطلاعات ادعا میکند که هکرها میتوانند هر حساب ایمیل AT&T را «بازنشانی کنند» و بین 15 تا 20 میلیون دلار از ارزهای رمزنگاری شده سرقت شده درآمد داشتهاند. (TechCrunch نمی تواند به طور مستقل ادعای اطلاعات دهنده را تأیید کند.)
TechCrunch یک اسکرین شات را دیده است که ظاهراً از یک چت گروهی تلگرام آمده است، جایی که یکی از هکرها ادعا می کند که گروه “کل پایگاه داده کارکنان AT&T را در اختیار دارد” که به آنها اجازه می دهد به یک پورتال داخلی AT&T برای کارمندان به نام OPUS دسترسی داشته باشند.
تنها چیزی که ما از دست می دهیم یک گواهی است که آخرین کلید دسترسی به آن است [AT&T] سرورهای ویپیان، بر اساس اسکرین شات، هکر در کانال تلگرام نوشت
اطلاعات دهنده گفت که این باند اکنون به VPN داخلی AT&T دسترسی دارد.
کیمبرلی، سخنگوی AT&T، دسترسی هکرها به سیستم های داخلی شرکت را رد کرد. “هیچ نفوذی در هیچ سیستمی برای این سوء استفاده وجود نداشت. بازیگران بد از یک دسترسی API استفاده کردند.
آیا اطلاعات بیشتری در مورد این هک ها علیه کاربران ایمیل AT&T دارید؟ یا هک های مشابه دیگر؟ ما از اینکه ازت خبر داشته باشیم خوشحال میشویم. میتوانید با Lorenzo Franceschi-Bicchierai بهطور ایمن از طریق Signal به شماره 1 917 257 1382 +1 یا از طریق Wickr، Telegram and Wire @lorenzofb یا ایمیل [email protected] تماس بگیرید. همچنین می توانید از طریق SecureDrop با TechCrunch تماس بگیرید.