In einer Erklärung sagte die Regulierungsbehörde: „Die SEC hat festgestellt, dass die nicht autorisierte Partei durch einen offensichtlichen ‚SIM-Swap‘-Angriff die Kontrolle über die mit dem Konto verknüpfte SEC-Handynummer erlangt hat.“ Sobald der Unbefugte die Telefonnummer unter Kontrolle hatte, setzte er das Passwort für das @SECGov-Konto zurück.“
Was ist ein SIM-Swapping-Angriff?
Diese Hacking-Taktik wird als gängige Betrugsmasche bezeichnet, bei der Angreifer Kundendienstmitarbeiter dazu verleiten, Telefonnummern auf neue Geräte zu übertragen.
Wie sich dieser Angriff auf die SEC ausgewirkt hat
Bei diesem Angriff wurde das X-Konto der SEC übernommen, um dies fälschlicherweise zu behaupten Bitcoin-ETFs war genehmigt worden. Dieser Angriff hat nun Fragen zu den Sicherheitspraktiken der SEC aufgeworfen. Für von der Regierung verwaltete Social-Media-Konten muss in der Regel MFA aktiviert sein. Da es sich bei @SECGiv um ein hochkarätiges Konto mit möglicherweise marktbewegenden Fähigkeiten handelt, das keine zusätzliche Sicherheitsebene nutzt, hat dies bereits Fragen beim US-Kongress aufgeworfen.
Die SEC teilte mit, dass sie die Supportmitarbeiter von „Sobald der Zugriff wiederhergestellt war, blieb MFA deaktiviert, bis Mitarbeiter es nach der Kompromittierung des Kontos am 9. Januar wieder aktivierten. MFA ist derzeit für alle SEC-Social-Media-Konten aktiviert, die es anbieten.“
Das Fehlen von MFA könnte es dem Angreifer erleichtert haben, das Konto der SEC zu übernehmen. Die Aufsichtsbehörde hat jedoch nicht verraten, woher die Verantwortlichen wussten, welches Telefon mit dem X-Konto verknüpft war.
Die SEC hat auch keine Details darüber mitgeteilt, wie der namentlich nicht genannte Telekommunikationsanbieter auf den Betrug hereingefallen ist und wer dahinter steckt. Die Aufsichtsbehörde sagte, sie untersuche diese Punkte derzeit zusammen mit dem Justizministerium, dem FBI, dem Heimatschutzministerium und ihrem eigenen Generalinspekteur.