Η Επιτροπή Κεφαλαιαγοράς των ΗΠΑ επιβεβαίωσε σήμερα ότι ο
λογαριασμός
της Χ παραβιάστηκε μέσω επίθεσης ανταλλαγής SIM στον αριθμό κινητού τηλεφώνου
που
σχετίζεται με τον λογαριασμό.
Νωρίτερα αυτό το μήνα, ο λογαριασμός X της SEC παραβιάστηκε για να εκδοθεί
μι
α ψεύτικη ανακοίνωση ότι η υπηρεσία είχε τελικά εγκρίνει τα Bitcoin ETF σε ανταλλαγές ασφαλείας.
Κατά ειρωνικό τρόπο, η SEC ενέκρινε Bitcoin ETFs σε μια νόμιμη ανακοίνωση την επόμενη μέρα.
Ωστόσο, εκείνη την εποχή, δεν ήταν ξεκάθαρο πώς παραβιάστηκε ο λογαριασμός, με την SEC να δηλώνει ότι θα παράσχει ενημερώσεις σχετικά με την έρευνά
του
ς μόλις γίνει διαθέσιμη.
Σήμερα, η SEC επιβεβαίωσε ότι ένας λογαριασμός κινητού τηλεφώνου που σχετίζεται με τον λογαριασμό X υπέστη επίθεση με εναλλαγή SIM.
“Δύο ημέρες μετά το συμβάν, σε συνεννόηση με τον πάροχο τηλεπικοινωνιών της SEC, η SEC διαπίστωσε ότι το μη εξουσιοδοτημένο μέρος απέκτησε τον έλεγχο του αριθμού κινητού τηλεφώνου SEC που σχετίζεται με τον λογαριασμό σε μια προφανή επίθεση “ανταλλαγής SIM””, εξηγεί μια ενημερωμένη
Δήλωση Τύπου SEC
για την παραβίαση.
Στις επιθέσεις ανταλλαγής SIM, οι παράγοντες
απε
ιλών ξεγελούν τον ασύρματο πάροχο του θύματος για να μεταφέρει τον αριθμό τηλεφώνου ενός πελάτη σε μια συσκευή υπό τον έλεγχο του εισβολέα. Αυτό επιτρέπει την ανάκτηση όλων των μηνυμάτων και των τηλεφωνικών κλήσεων που αποστέλλονται στη συσκευή από τους χάκερ, συμπεριλαμβανομένων των συνδέσμων επαναφοράς κωδικού πρόσβασης και των κωδικών πρόσβασης μιας χρήσης για έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA).
Σύμφωνα με την SEC, οι χάκερ δεν είχαν πρόσβαση στα εσωτερικά συστήματα, τα δεδομένα, τις συσκευές ή άλλους λογαριασμούς μέσων κοινωνικής δικτύωσης της υπηρεσίας και η ανταλλαγή SIM έγινε εξαπατώντας τον πάροχο κινητής τηλεφωνίας τους για να μεταφέρει τον αριθμό.
Μόλις οι φορείς απειλών έλεγξαν τον αριθμό, επαναφέρουν τον κωδικό πρόσβασης για τον λογαριασμό @SECGov για να δημιουργήσουν την ψεύτικη ανακοίνωση.
Η SEC λέει ότι συνεχίζει να συνεργάζεται με τις αρχές επιβολής του νόμου για να διερευνήσει πώς οι επιτιθέμενοι πραγματοποίησαν την επίθεση ανταλλαγής SIM με την εταιρεία κινητής τηλεφωνίας τους.
Η SEC επιβεβαίωσε επίσης ότι ο έλεγχος ταυτότητας πολλαπλών παραγόντων δεν ήταν ενεργοποιημένος στον λογαριασμό, καθώς είχε ζητήσει από την υποστήριξη X να τον απενεργοποιήσει όταν αντιμετώπισαν προβλήματα κατά τη σύνδεση στον λογαριασμό.
Εάν το MFA ήταν ενεργοποιημένο μέσω SMS, οι χάκερ θα μπορούσαν να παραβιάσουν τον λογαριασμό καθώς θα είχαν λάβει τους κωδικούς πρόσβασης μίας χρήσης.
Ωστόσο, εάν η ρύθμιση ασφαλείας είχε διαμορφωθεί ώστε να χρησιμοποιεί μια εφαρμογή ελέγχου ταυτότητας, θα εμπόδιζε τους παράγοντες της απειλής να συνδεθούν στον λογαριασμό, ακόμη και αφού οι εισβολείς είχαν αλλάξει τον κωδικό πρόσβασης.
Για αυτόν τον λόγο, συνιστάται πάντα η χρήση του MFA μόνο με κλειδί ασφαλείας υλικού ή εφαρμογή ελέγχου ταυτότητας και όχι μέσω SMS.
Ο Χ μαστίστηκε τον περασμένο χρόνο με χακαρισμένους λογαριασμούς και κακόβουλες διαφημίσεις που προωθούν απάτες κρυπτονομισμάτων και αποστραγγιστικά πορτοφολιών.
Δυστυχώς, δεν φαίνεται να υπάρχει ένα τέλος, με τους χρήστες να έχουν βαρεθεί με κάτι που μοιάζει με μια συνεχή ροή κακόβουλων διαφημίσεων.
VIA:
bleepingcomputer.com
