Комиссия по ценным бумагам и биржам США (U.S. Securities and Exchange Commission/SEC) подтвердила, что взлом ее аккаунта X (Twitter) стал результатом взлома с подменой SIM-карт.
Хакеры ненадолго получили контроль над аккаунтом 9 января, опубликовав фальшивое (или, по крайней мере, преждевременное) сообщение, что комиссия одобрила фьючерсные биржевые фонды (ETF) биткоина.
После этого сообщения биткоин взлетел до 19-месячного максимума, а затем упал почти на 6% после того, как сотрудники SEC использовали X-аккаунт председателя Гэри Генслера, чтобы сообщить, что объявление о ETF было фальшивым. Однако позже на той же неделе SEC все же одобрила 11 ETF-фондов.
Сразу после захвата аккаунта эксперты по безопасности заподозрили мошенничество с подменой SIM-карт, особенно после того, как SEC показала, что неавторизованная сторона получила доступ "путем получения контроля над телефонным номером, связанным с аккаунтом".
Но только 22 января комиссия подтвердила, что очевидной причиной инцидента стала атака с подменой SIM-карт.
Последнее обновление SEC также показало, что многофакторная аутентификация (MFA), которая, вероятно, могла бы предотвратить взлом, была отключена на аккаунте в течение нескольких месяцев.
"Через два дня после инцидента, после консультаций с оператором связи SEC, SEC определила, что неавторизованная сторона получила контроль над номером мобильного телефона SEC, связанного с учетной записью, в результате очевидной атаки 'подмены SIM'", — сказал представитель SEC.
Что такое атака на SIM-карту
Подмена SIM-карт, также называемая simjacking, — это вид киберпреступлений, когда преступник обманывает оператора беспроводной связи, заставляя его отправлять тексты и звонки на неавторизованный телефон или устройство стороннего производителя. Это позволяет мошеннику перехватывать коды восстановления пароля и верификации учетной записи.
Как правило, атаки на подмену SIM-карт осуществляются через взломанный почтовый ящик, связанный с оператором беспроводной связи. Преступники используют взломанный аккаунт электронной почты, чтобы запросить у оператора беспроводной связи перенос SIM-карты на новую SIM-карту, находящуюся под контролем хакера. Затем, когда преступник входит в аккаунт жертвы, защищенный многофакторной аутентификацией (MFA), например, в банковский аккаунт или аккаунт в Twitter, "код безопасности" отправляется на SIM-карту, находящуюся под контролем преступника.
В случае с атакой 9 января доступ к номеру телефона был получен через оператора связи, а не через системы SEC, сказал представитель компании.
"Сотрудники SEC не обнаружили никаких доказательств того, что неавторизованная сторона получила доступ к системам, данным, устройствам или другим аккаунтам в социальных сетях SEC".
Как только хакер получил контроль над телефоном, он сбросил X/Twitter пароль SEC, что, скорее всего, стало возможным из-за того, что в учетной записи не был включен MFA.
Хотя MFA была активирована ранее, "она была отключена службой поддержки X по просьбе сотрудников в июле 2023 года из-за проблем с доступом к учетной записи", — сказал пресс-секретарь.
После восстановления доступа MFA оставалась отключенной до тех пор, пока сотрудники не включили ее снова после взлома аккаунта 9 января. В настоящее время MFA включена для всех аккаунтов SEC в социальных сетях, где она предусмотрена.
Правоохранительные и федеральные надзорные органы, включая ФБР, Агентство по кибербезопасности и инфраструктурной безопасности (CISA) и Управление генерального инспектора SEC, продолжают расследование взлома. "Среди прочего, правоохранительные органы в настоящее время расследуют, как неавторизованная сторона заставила оператора сменить SIM-карту для счета и как она узнала, какой телефонный номер был связан со счетом", — сказал представитель SEC.
Источник: SEC blames SIM swap hack for Twitter account hijack
