Cuenta X de la SEC pirateada mediante un ataque de intercambio de SIM

Quince días después del hackeo de su cuenta X, la SEC volvió al vector de ataque utilizado en un ataque que no dejó de sembrar la discordia en el precio del bitcoin. La agencia tomó muy en serio este compromiso, que movilizó a agencias policiales y entidades de supervisión federal apropiadas, incluida la Oficina del Inspector General de la SEC, el FBI y CISA, para su investigación.

"Dos días después del incidente, en consulta con el operador de telecomunicaciones de la SEC, la comisión determinó que la parte no autorizada obtuvo el control del número de teléfono celular de la SEC asociado con la cuenta en un aparente intercambio de ataque a la SIM", explicó el regulador. El intercambio de SIM, es decir, la transferencia de tarjetas SIM, consiste en que los piratas informáticos se ponen en contacto con el operador de telecomunicaciones de su víctima, haciéndose pasar por él, para transferir su servicio a su propia tarjeta SIM. Una operación que se basa más en la ingeniería social que en un ataque informático como tal. "El personal de la SEC no ha identificado ninguna evidencia de que la parte no autorizada haya accedido a los sistemas, datos, terminales u otras cuentas de redes sociales de la SEC", dijo la agencia. Al recuperar la línea, el actor malicioso también pudo acceder a enlaces de restablecimiento de contraseña, así como a códigos de un solo uso para MFA.

MFA desactivada en julio de 2023

Una vez en posesión del número de teléfono de la SEC, a los piratas informáticos responsables de esta operación les resultó sencillo acceder a la cuenta de la red social de la comisión, lo que resultó ser incluso más sencillo de lo esperado. “Si bien la autenticación multifactor se había habilitado previamente a cuenta de la SEC. "Una vez que se restableció el acceso, MFA permaneció deshabilitado hasta que el personal lo reactivó después de que la cuenta se vio comprometida el 9 de enero. Actualmente, MFA está habilitado para todas las cuentas de redes sociales de la SEC que lo ofrecen". No será mañana cuando la SEC desactivará el MFA en sus cuentas, pero está por ver si esto será suficiente para enfriar el ardor de los hackers...