ABD Menkul Kıymetler ve Borsa Komisyonu bugün, X hesabının, hesapla ilişkili cep telefonu numarasına yapılan SIM değiştirme saldırısı yoluyla saldırıya uğradığını doğruladı.
Bu ayın başlarında SEC’in X hesabı, kurumun nihayet menkul kıymet borsalarında Bitcoin ETF’lerini onayladığına dair sahte bir duyuru yayınlamak için saldırıya uğradı.
İronik bir şekilde SEC, ertesi gün meşru bir duyuruyla Bitcoin ETF’lerini onayladı.
Ancak o dönemde hesabın nasıl ihlal edildiği belli değildi ve SEC, soruşturmayla ilgili güncellemeler geldikçe paylaşacaklarını belirtmişti.
Bugün SEC, X hesabıyla ilişkili bir cep telefonu hesabının SIM değiştirme saldırısına maruz kaldığını doğruladı.
Güncellenmiş bir SEC basın açıklaması şöyle açıklıyor: “Olaydan iki gün sonra, SEC’in telekom operatörüyle istişarede bulunarak SEC, yetkisiz bir tarafın, açık bir ‘SIM takas’ saldırısında hesapla ilişkili SEC cep telefonu numarasının kontrolünü ele geçirdiğini belirledi.” ihlal üzerine.
SIM değiştirme saldırılarında, tehdit aktörleri kurbanın kablosuz iletişim operatörünü kandırarak müşterinin telefon numarasını saldırganın kontrolü altındaki bir cihaza taşıyor. Bu, parola sıfırlama bağlantıları ve çok faktörlü kimlik doğrulama (MFA) için tek kullanımlık parolalar da dahil olmak üzere, cihaza gönderilen tüm metinlerin ve telefon çağrılarının bilgisayar korsanları tarafından alınmasına olanak tanır.
SEC’e göre bilgisayar korsanlarının kurumun dahili sistemlerine, verilerine, cihazlarına veya diğer sosyal medya hesaplarına erişimi yoktu ve SIM değişimi, mobil operatörlerini numarayı taşıması için kandırarak gerçekleşti.
Tehdit aktörleri numarayı kontrol ettikten sonra sahte duyuru oluşturmak için @SECGov hesabının şifresini sıfırladılar.
SEC, saldırganların mobil operatörleriyle SIM değiştirme saldırısını nasıl gerçekleştirdiklerini araştırmak için kolluk kuvvetleriyle birlikte çalışmaya devam ettiklerini söyledi.
SEC ayrıca hesapta çok faktörlü kimlik doğrulamanın etkinleştirilmediğini doğruladı çünkü X desteğinden, hesaba giriş yaparken sorunla karşılaştıklarında bunu devre dışı bırakmasını istedi.
MFA SMS yoluyla etkinleştirilseydi, bilgisayar korsanları tek seferlik şifreleri alacakları için yine de hesabı ihlal edebilirlerdi.
Ancak güvenlik ayarı bir kimlik doğrulama uygulaması kullanacak şekilde yapılandırılmış olsaydı, saldırganlar şifreyi değiştirdikten sonra bile tehdit aktörlerinin hesaba giriş yapması engellenirdi.
Bu nedenle MFA’nın SMS yerine yalnızca donanım güvenlik anahtarı veya kimlik doğrulama uygulamasıyla kullanılması her zaman tavsiye edilir.
X geçtiğimiz yıl, saldırıya uğramış hesaplar ve kripto para birimi dolandırıcılıklarını ve cüzdan tüketenleri teşvik eden kötü amaçlı reklamlarla boğuştu.
Ne yazık ki, kullanıcıların artık sürekli bir kötü amaçlı reklam akışı gibi hissettiren şeylerden bıkmış olması nedeniyle görünürde bir son yok gibi görünüyor.