Hackers desconhecidos estão invadindo as contas de pessoas que possuem endereços de e-mail da AT&T (NYSE:T) e usando esse acesso para invadir as contas da exchange de criptomoedas da vítima e roubar suas criptomoedas, de acordo com o TechCrunch.
A AT&T também é negociada na B3 através do ticker (BOV:ATTB34).
No início do mês, uma fonte anônima disse que uma gangue de cibercriminosos encontrou uma maneira de invadir os endereços de e-mail de qualquer pessoa que tenha att.net, sbcglobal.net, bellsouth.net e outros endereços de e-mail da AT&T.
Segundo o informante, os hackers conseguem fazer isso porque têm acesso a uma parte da rede interna da AT&T, que permite criar chaves de e-mail para qualquer usuário. As chaves de e-mail são credenciais exclusivas que os usuários de e-mail da AT&T podem usar para fazer login em suas contas usando aplicativos de e-mail como Thunderbird ou Outlook, mas sem precisar usar suas senhas.
Com a chave de e-mail de um alvo, os hackers podem usar um aplicativo de e-mail para fazer login na conta do alvo e começar a redefinir senhas para serviços mais lucrativos, como exchanges de criptomoedas. Nesse ponto, o jogo acabou para a vítima, pois os hackers podem redefinir a senha da conta Coinbase (COIN, C2OI34) ou Gemini da vítima por e-mail.
O informante forneceu uma lista de supostas vítimas. Duas das vítimas responderam, confirmando que foram hackeadas.
O porta-voz da AT&T, Jim Kimberly, disse que a empresa “identificou a criação não autorizada de chaves de e-mail seguras, que podem ser usadas em alguns casos para acessar uma conta de e-mail sem a necessidade de uma senha”.
“Atualizamos nossos controles de segurança para evitar essa atividade. Como precaução, também exigimos proativamente uma redefinição de senha em algumas contas de e-mail”, disse o porta-voz, forçando os proprietários das contas a redefinirem suas senhas.
A AT&T se recusou a dizer quantas pessoas foram atingidas nesta onda de hacks. “Esse processo eliminou todas as chaves de e-mail seguras que haviam sido criadas”, acrescentou o porta-voz.
Uma vítima disse que os hackers roubaram US$ 134.000 de sua conta na Coinbase. A segunda vítima disse que “isso tem acontecido repetidamente desde novembro de 2022 – provavelmente 10 vezes neste momento. Percebo que isso foi feito quando meu cliente Outlook falha em ‘conectar’ e eu rapidamente faço login no meu site [AT&T], excluo sua chave e crio uma nova.”
“Muito frustrante porque é óbvio que os ‘hackers’ têm acesso direto ao banco de dados ou arquivos que contêm essas chaves do Outlook do cliente, e os hackers não precisam saber o login do site da AT&T do usuário para acessar e alterar essas chaves de login do Outlook,” acrescentou a vítima.
Além disso, várias pessoas com AT&T e outros endereços de e-mail relacionados disseram no Reddit que foram hackeados.
“Olá, meu e-mail foi comprometido em março deste ano e fiz tudo o que pude para redefinir a senha, questões de segurança, etc., mas ocasionalmente ainda recebo e-mails informando que uma chave de e-mail segura foi criada em minha conta sem meu conhecimento ”, escreveu um usuário. “Eles até excluíam a notificação por e-mail para que eu não a visse, mas recentemente mudei para outro e-mail para atualizações de perfil, para que eles não tenham acesso. Parece que alguém ainda tem acesso à minha conta, mas como?”
Outra pessoa escreveu: “Tenho o mesmo problema há meses e acabei de começar de novo, a senha não foi alterada, mas a conta foi bloqueada e uma chave de correio continua sendo criada de alguma forma.”
O informante afirma que os hackers podem “redefinir qualquer” conta de e-mail da AT&T e que ganharam entre US$ 15 e US$ 20 milhões em criptografia roubada.
Uma captura de tela aparentemente proveniente de um bate-papo em grupo do Telegram, onde um dos hackers afirma que a gangue “tem todo o banco de dados de funcionários da AT&T”, lhes permite acessar um portal interno da AT&T para funcionários chamado OPUS.
“A única coisa que falta é um certificado, que é a última chave para acessar os servidores VPN [AT&T]”, escreveu o hacker no canal Telegram, de acordo com a captura de tela.
O informante disse que a turma agora tem acesso à VPN interna da AT&T.
Kimberly, porta-voz da AT&T, negou que os hackers tivessem qualquer acesso aos sistemas internos da empresa. “Não houve invasão em nenhum sistema para esta exploração. Os malfeitores usaram um acesso à API.”
Com informações de Techcrunch