La Securities and Exchange Commission (SEC) degli Stati Uniti ha fornito nuovi dettagli sull’accesso non autorizzato all’account ufficiale su X avvenuto il 9 gennaio. Ignoti cybercriminali hanno sfruttato un attacco di SIM swapping per effettuare il login e pubblicare post fake sui Bitcoin ETF. La commissione ha inoltre confermato che l’autenticazione multi-fattore era disattivata.
Furto dell’account con SIM swapping
L’attacco è stato messo a segno nel pomeriggio del 9 gennaio. Ignoti cybercriminali hanno compromesso l’account su X della SEC, annunciando l’approvazione dei Bitcoin ETF (avvenuta realmente il giorno successivo). L’accesso non autorizzato è stato bloccato circa un’ora e mezza dopo con l’assistenza dell’azienda californiana. Nel frattempo era arrivata la smentita del Presidente Gary Gensler.
In seguito all’indagine, la SEC ha confermato che l’intrusione è avvenuta tramite il numero di telefono associato all’account, quindi sfruttando un attacco di SIM swapping. I cybercriminali sono riusciti ad effettuare la migrazione del numero senza autorizzazione. Successivamente hanno resettato la password dell’account per impedire l’accesso ai legittimi proprietari.
Le forze dell’ordine, tra cui l’FBI, dovranno ora scoprire come i cybercriminali sono venuti a conoscenza del numero di telefono e come sono riusciti ad ottenere il cambio della SIM dall’operatore telefonico. In simili casi, i principali “sospettati” sono un dipendente della vittima (ingannato tramite tecniche di social engineering) e un dipendente dell’operatore telefonico (che riceve un compenso in denaro).
Sul numero di telefono è possibile ricevere i codici via SMS dell’autenticazione multi-fattore (MFA). Tuttavia, la protezione era stata disattivata a luglio 2023 per risolvere alcuni problemi di login e mai ripristinata per dimenticanza dello staff tecnico della SEC. La sua attivazione è avvenuta solo dopo l’intrusione del 9 gennaio.