Kleiner Fehler, große Wirkung: Eine API des US-amerikanischen Telekommunikationsanbieters AT&T war nicht zureichend vor unbefugten Zugriffen geschützt. Dadurch konnten Betrüger Zugriff auf Mailkonten von Nutzern erlangen. Damit haben sie schließlich einen Raubzug gestartet und die Krypto-Währungen der Opfer abgezogen. Wie Techcrunch berichtet, waren davon E-Mail-Adressen mit den Domains att.net, sbcglobal.net, bellsouth.net und anderen AT&T-Domains und -Diensten betroffen. Die Opfer haben ironischerweise den zusätzlichen Sicherheitsmechanismus Zwei-Faktor-Authentifizierung (2FA) eingesetzt. Der erweiterte Schutz durch Mehr-Faktor-Authentifizierung soll eigentlich sicherstellen, dass wirklich nur Inhaber des zusätzlichen Faktors Zugriff auf den Mail-Dienst erhalten. Etwa beim Zugriff auf das Webmail-Konto fragt ein Dienst dann bei erstmals neu genutzten Webbrowsern auf einem Gerät den Zusatzfaktor zum Beleg der Inhaberschaft an. So können etwa erbeutete Zugangsdaten aus Datenlecks nicht genutzt werden, um Zugriff zu erlangen, da dort in der Regel der zweite Faktor fehlt. Ältere Software hat jedoch keine Möglichkeit, einen zweiten Faktor auszuwerten. So ist etwa der IMAP-Zugang zu Mails nicht ohne Weiteres derart zu schützen. Die meisten Programme und Dienste nutzen noch Nutzername und Passwort zur Prüfung der Zugangsberechtigung. Damit aber die Sicherheit nicht komplett darunter leidet, bieten die Mail-Hoster in der Regel an, ein anwendungsspezifisches Passwort zu erstellen. Das erlaubt beispielsweise lediglich den Zugriff auf E-Mails, nicht jedoch auf das komplette Nutzerkonto und die zugehörigen Einstellungen. Den Cyberkriminellen gelang es, auf die API von AT&T zuzugreifen, mit der sich diese anwendungsspezifischen Passwörter erstellen lassen – das Unternehmen nennt sie „sichere E-Mail-Schlüssel“ (secure mail key). Damit standen ihnen die betroffenen Mail-Konten offen. Sie haben von dort aus unter anderem Passwörter für lukrativere Dienste zurückgesetzt, etwa für Krypto-Börsen. Die Angreifer konnten damit etwa die Passwörter von Coinbase- und Gemini-Zugängen zurücksetzen und dann darauf zugreifen. Die zugehörigen Mails haben sie schnell gelöscht, sodass sie den Opfern nicht auffallen konnten. Zwei Opfer konnte Techcrunch kontaktieren, eines wurde inzwischen bereits um Krypto-Währung im Wert von 134.000 US-Dollar im Coinbase-Konto erleichtert. Seit November 2022 sei es allein bei ihm bereits zehn Mal zu solchen Angriffen gekommen. Outlook zeigte dabei einen Verbindungsfehler an. Das Opfer habe sich dann in seinem AT&T-Konto angemeldet und das neu erstellte anwendungsspezifischen Passwort entfernt und ein neues erstellt. Das sei sehr frustrierend gewesen, da die Angreifer offenbar direkten Zugriff auf die Outlook-Zugangsdaten zu haben schienen und sich nicht erst an der Webseite anmelden und die Daten ändern mussten. Ein Unternehmenssprecher von AT&T teilte demnach mit, dass das Unternehmen „die unbefugte Erstellung von sicheren E-Mail-Schlüsseln entdeckt hat, die in einigen Fällen verwendet werden können, um auf ein E-Mail-Konto zuzugreifen, ohne ein Passwort zu benötigen“. „Wir haben unsere Sicherheitskontrollen aktualisiert, um derartige Aktivitäten zu verhindern. Als Vorsichtsmaßnahme haben wir bei einigen E-Mail-Konten proaktiv die Passwörter zurückgesetzt“, fügte der Sprecher hinzu. Weiter führte er aus, dass „dieser Vorgang alle sicheren E-Mail-Schlüssel gelöscht hat, die erstellt wurden“, ohne jedoch darauf einzugehen, wie viele Konten betroffen waren. Ein Screenshot von Telegram liegt Techcrunch zudem vor, demzufolge die Angreifer behaupten, die komplette Angestellten-Datenbank von AT&T zu haben, womit sie Zugang zu internen AT&T-Portalen für Angestellte erhalten könnten. Allerdings fehle ihnen noch ein Zertifikat, mit dem sie auf die AT&T-VPN-Server zugreifen könnten. Ein Tippgeber steckte dem Magazin, dass die Täter inzwischen Zugang zu AT&Ts internem VPN hätten. Dies stritt der Unternehmenssprecher jedoch ab: „Bei diesem Exploit wurde nicht in ein System eingegriffen. Die Angreifer nutzten einen API-Zugang“. Es bleibt unklar, wie die Cyberkriminellen Zugang zu der API erhalten haben und ob sie tatsächlich interne Daten abgreifen konnten.

Quelle: Heise