ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) yönelik, mali düzenleyici kurumun sosyal medya kanallarında yanlış bilgilerin yayınlanmasıyla sonuçlanan siber saldırının, SIM değiştirme saldırısının sonucu olduğu ortaya çıktı.
Saldırı, 9 Ocak Pazartesi günü SEC’in X hesabının, düzenleyicinin bitcoin kripto para birimi için ABD’de listelenen borsada işlem gören fonların (ETF’ler) oluşturulmasını onayladığını doğrulamak için kısa süreliğine ortaya çıkmasıyla ortaya çıktı.
SEC, o zamandan beri kripto varlıkları için dönüm noktası niteliğindeki bir anda Bitcoin ETF’lerine resmi olarak gerçek onay verdi. Ancak saldırganlar, silahı atlayarak, gönderi kaldırılmadan ve SEC ele geçirilen hesabın kontrolünü geri almadan önce piyasada önemli dalgalanmalara neden oldu.
Aradan geçen iki hafta boyunca SEC, kolluk kuvvetleri ve aralarında FBI, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Adalet Bakanlığı (DoJ) ve kendi iç uygulama ekiplerinin de bulunduğu diğer kurumlarla birlikte çalışıyor.
Bir güncellemede SEC sözcüsü, bilgisayar korsanlarının, ele geçirilen X hesabına bağlı cep telefonu numarasının kontrolünü SIM değiştirme yoluyla ele geçirdiğini doğruladı.
“Telefon numarasına erişim SEC sistemleri üzerinden değil telekom operatörü üzerinden gerçekleşti. SEC personeli, yetkisiz tarafın SEC sistemlerine, verilerine, cihazlarına veya diğer sosyal medya hesaplarına erişim sağladığına dair herhangi bir kanıt tespit etmedi” dedi.
“Telefon numarasının kontrolünü ele geçirdikten sonra, yetkisiz taraf @SECGov hesabının şifresini sıfırladı. Diğer şeylerin yanı sıra, kolluk kuvvetleri şu anda yetkisiz tarafın operatöre hesabın SIM’ini değiştirmesini nasıl sağladığını ve tarafın hesapla hangi telefon numarasının ilişkili olduğunu nasıl bildiğini araştırıyor.
“@SECGov X hesabında çok faktörlü kimlik doğrulama (MFA) daha önce etkinleştirilmiş olsa da, hesaba erişim sorunları nedeniyle Temmuz 2023’te personelin isteği üzerine X desteği tarafından devre dışı bırakıldı. Erişim yeniden sağlandıktan sonra MFA, 9 Ocak’ta hesabın ele geçirilmesinin ardından personel tarafından yeniden etkinleştirilene kadar devre dışı kaldı. MFA şu anda onu sunan tüm SEC sosyal medya hesapları için etkindir” diye eklediler.
SIM değiştirme nedir?
Başarılı bir SIM değiştirme saldırısı, bir tehdit aktörünün mobil ağ operatörünü (MNO) kurbanın cep telefonu numarasını yeni bir cihaza geçirmeye ikna etmesi durumunda gerçekleşir.
Bu genellikle, kişisel olarak tanımlanabilir bilgiler (PII), kimlik bilgileri ve güvenlik sorularının yanıtları (annenin kızlık soyadı, ilk arabasının markası ve modeli vb.) gibi verileri elde etmek amacıyla mağdura yönelik kimlik avı yoluyla gerçekleştirilir.
Daha sonra MNO ile iletişime geçebilir ve kurbanın hesabına yeni bir SIM kart kaydedebilir, kartı devralabilir ve herhangi bir arama veya SMS verisine veya kurbanın telefon numarasına bağlı olabilecek hesaplara erişim sağlayabilirler.
Bankacılıktan sosyal medyaya kadar birçok çevrimiçi hesap, kimlik bilgilerini almak veya sıfırlamak için mobil kimlik doğrulamasına bağlı olduğundan, saldırganlar kurbanlarının dijital yaşamının tam kontrolünü ele geçirebilir, banka hesaplarını boşaltabilir veya sosyal medyalarını ele geçirebilir.
Ne yazık ki, çoğu zaman mağdur, mobil cihazı aniden çağrı veya mesaj gönderip alamamaya başlayana kadar hedef alındığının farkına varmaz; o noktada artık çok geç olur.
Sıradan insanlar kendilerini bu saldırı vektörüne karşı korumak için adımlar atabilirler. Tarihsel olarak, en etkili yöntemin MFA’yı önemli hesaplarda kullanmak olduğu kabul edilmiştir; ancak bu bile, özellikle SMS tek seferlik şifrelere dayanıyorsa, şaşmaz değildir. Daha etkili olanı, Google veya Microsoft gibi şirketlerin kimlik doğrulama uygulamalarını kullanmaktır. En etkili yöntem, eğer önlenebiliyorsa, cep telefonu numarasını çevrimiçi hesaplara bağlamamaktır.
SEC vakasında, saldırının kripto para meraklılarına şaka yapmak veya troll yapmakla sınırlı olduğu görülüyor ancak yine de finansal piyasaları bu şekilde manipüle etmek yasa dışıdır ve eğer suçlular yakalanır ve ABD’de veya bu ülkenin birlikte olduğu bir ülkede bulunursa ABD’nin suçluların iadesi anlaşması var; sert cezalar bekleyebilirler.
Siber suç eğitimcisi ve Immuniweb’in kurucusu ve genel müdürü Ilia Kolochenko, olayın çok daha kötü olabileceğini söyledi.
“SEC’in X hesabının hacklenmesi küçük bir güvenlik olayı olsa da, tüm devlet kurumları sosyal ağ hesaplarının güvenliğini incelemelidir” dedi.
“SEC hesabının ihlali kısa süreliğine piyasada dalgalanmalara neden olabilir, ancak ABD Savunma Bakanlığı’nın X’e savaş veya nükleer saldırı ilan eden bir mesajı küresel olarak öngörülemeyen ve yıkıcı sonuçları tetikleyebilir.”