Bilgisayar korsanları, kripto para birimini çalmak için AT&T e-posta hesaplarına giriyor

TechCrunch, bilinmeyen bilgisayar korsanlarının AT&T e-posta adreslerine sahip kişilerin hesaplarına girdiğini ve bu erişimi kullanarak kurbanın kripto para borsasının hesaplarına girip kriptolarını çaldığını öğrendi.

Ayın başında, anonim bir kaynak TechCrunch’a bir siber suçlu çetesinin att.net, sbcglobal.net, bellsouth.net ve diğer AT&T e-posta adreslerine sahip herkesin e-posta adreslerini ele geçirmenin bir yolunu bulduğunu söyledi.

İhbarcıya göre bilgisayar korsanları bunu, AT&T’nin dahili ağının herhangi bir kullanıcı için posta anahtarları oluşturmalarına izin veren bir bölümüne erişimleri olduğu için yapabiliyorlar. Posta anahtarları, AT&T e-posta kullanıcılarının kullanabileceği benzersiz kimlik bilgileridir. Thunderbird veya Outlook gibi e-posta uygulamalarını kullanarak hesaplarında oturum açmak içinancak şifrelerini kullanmak zorunda kalmadan.

Bilgisayar korsanları, bir hedefin posta anahtarıyla hedefin hesabına giriş yapmak ve kripto para borsası gibi daha kazançlı hizmetler için parolaları sıfırlamak için bir e-posta uygulamasını kullanabilir. Bu noktada, bilgisayar korsanları kurbanın Coinbase veya Gemini hesap şifresini e-posta yoluyla sıfırlayabileceğinden, kurban için oyun biter.

Muhbir, kurban olduğu iddia edilenlerin bir listesini verdi. Kurbanlardan ikisi, saldırıya uğradıklarını doğrulayarak yanıt verdi.

AT&T sözcüsü Jim Kimberly, şirketin “bazı durumlarda bir parolaya ihtiyaç duymadan bir e-posta hesabına erişmek için kullanılabilen güvenli posta anahtarlarının yetkisiz olarak oluşturulduğunu belirlediğini” söyledi.

“Bu etkinliği önlemek için güvenlik kontrollerimizi güncelledik. Önlem olarak, bazı e-posta hesaplarında proaktif olarak parola sıfırlama talebinde bulunduk” dedi.

AT&T, bu saldırı dalgasında kaç kişinin vurulduğunu söylemeyi reddetti. Ancak şirket, “önlem olarak” bazı e-posta hesaplarını kilitledi ve sahiplerini parolalarını sıfırlamaya zorladı.

Sözcü, “Bu işlem, oluşturulmuş tüm güvenli posta anahtarlarını sildi” diye ekledi.

Bir kurban TechCrunch’a bilgisayar korsanlarının Coinbase hesabından 134.000 dolar çaldığını söyledi. İkinci kurban, “Kasım 2022’den beri tekrar tekrar oluyor – bu noktada muhtemelen 10 kez oluyor. Outlook istemcim ‘bağlanamadığında’ bunun yapıldığını fark ettim ve hızlı bir şekilde bilgisayarıma giriş yaptım. [AT&T] site ve anahtarlarını silin ve yeni bir tane oluşturun.

“Bilgisayar korsanlarının bu müşteri Outlook anahtarlarını içeren veritabanına veya dosyalara doğrudan erişimi olduğu ve bilgisayar korsanlarının bu görünüm oturum açma anahtarlarına erişmek ve bunları değiştirmek için kullanıcının AT&T web sitesi oturum açma bilgilerini bilmesi gerekmediği için çok sinir bozucu.” kurban ekledi.

Ayrıca, AT&T ve diğer ilgili e-posta adreslerine sahip birkaç kişi Reddit’te saldırıya uğradıklarını söyledi.

“Merhaba, bu yılın Mart ayında e-posta adresim ele geçirildi ve şifreyi, güvenlik sorularını vb. , ”diye yazdı bir kullanıcı. “E-posta bildirimini bile silerler, böylece göremem ama yakın zamanda profil güncellemeleri için başka bir e-postaya geçtim, bu yüzden erişimleri yok. Bu, birisinin hâlâ hesabıma erişimi varmış gibi görünüyor ama nasıl?”

Başka bir kişi şöyle yazdı: “Aylardır aynı sorunu yaşıyorum ve yeniden başladım, şifre değişmedi ancak hesap kilitlendi ve bir şekilde bir Posta Anahtarı oluşturulmaya devam ediyor.”

İhbarcı, bilgisayar korsanlarının “herhangi bir AT&T e-posta hesabını sıfırlayabileceklerini” ve çalınan kriptodan 15 ila 20 milyon dolar kazandıklarını iddia ediyor. (TechCrunch, ihbarcının iddiasını bağımsız olarak doğrulayamadı.)

TechCrunch, görünüşe göre bir Telegram grup sohbetinden gelen bir ekran görüntüsü gördü; burada bilgisayar korsanlarından biri, çetenin “tüm AT&T çalışan veritabanına sahip olduğunu” iddia ediyor ve bu da onların çalışanlar için dahili bir AT&T portalına erişmelerine izin veriyor. BAŞYAPIT.

“Eksiğimiz tek şey, sisteme erişmenin son anahtarı olan bir sertifika. [AT&T] Hacker, ekran görüntüsüne göre Telegram kanalında “VPN sunucuları” yazdı.

Muhbir, çetenin artık AT&T’nin dahili VPN’sine erişimi olduğunu söyledi.

AT&T’nin sözcüsü Kimberly, bilgisayar korsanlarının şirket içi sistemlere erişimi olduğunu yalanladı. “Bu istismar için herhangi bir sisteme izinsiz giriş olmadı. Kötü aktörler bir API erişimi kullandı.”

AT&T e-posta kullanıcılarına yönelik bu saldırılar hakkında daha fazla bilginiz var mı? Veya diğer benzer hackler? Sizden haber almak isteriz. Lorenzo Franceschi-Bicchierai ile +1 917 257 1382 numaralı telefondan Signal üzerinden veya Wickr, Telegram ve Wire @lorenzofb aracılığıyla veya [email protected] adresine e-posta göndererek güvenli bir şekilde iletişime geçebilirsiniz. TechCrunch aracılığıyla da iletişime geçebilirsiniz. GüvenliDrop.