Így törték fel az amerikai tőzsdefelügyelet X-fiókját

​Egy jelentős szervezetet ért kibertámadás hívta fel ismét a figyelmet a SIM-cserés támadások veszélyeire.
 

Az év elején az Egyesült Államok Értékpapír- és Tőzsdefelügyeletének (SEC) X (korábban Twitter) oldalán egy olyan bejegyzés jelent meg, amelyről hamar kiderült, hogy azt nem a felügyelet illetékesei publikálták. Egy Bitcoinnal kapcsolatos hamis bejelentésről volt szó, aminek hamar híre ment.
 
A SEC a történtek után elismerte, hogy egy ismeretlen elkövető jogosulatlanul fért hozzá a felügyelet hivatalos X-fiókjához, majd a bejegyzés közzétételével visszaélést követett el. Akkor azonban még nem lehetett tudni, hogy miként is sikerült átvenni a hatalmat a szervezet profilja felett.
 
Az azóta lezajlott vizsgálatok arra derítettek fényt, hogy az elkövetőnek sikerült egy SIM-cserés (SIM swapping) támadást véghez vinnie, aminek következtében az X-fiókhoz kapcsolt telefonszám felett át tudta venni az irányítást. Majd ezt kihasználva megváltoztatta a fiók jelszavát.
 
"Két nappal az incidenst követően konzultáltunk a mobil szolgáltatónkkal, és kiderült, hogy egy ismeretlen személy átvette az irányítást egy SIM-cserés támadással a SEC azon mobilszáma felett, amely a fiókunkhoz tartozott" - nyilatkozta a szervezet.
 
Időközben az is kiderült, hogy a SEC korábban - egy bejelentkezési nehézség miatt - kérte az X-et, hogy kapcsolja ki a többfaktoros azonosítást, így a támadónak ezzel sem kellett bajlódnia. Igaz, ha SMS-alapú lett volna az extra hitelesítés, akkor sem lett volna nehéz dolga, hiszen az egyszer használatos kódhoz könnyedén hozzáfért volna.
 
Ez esetben leginkább az akadályozhatta volna meg a támadást, ha a SEC például authentikátor alkalmazáshoz kötötte volna a kétfaktoros azonosítást az X-en. Mindenestere elgondolkodtató és tanulságos, hogy egy ilyen jelentős, kiberbiztonságra komoly erőforrásokat áldozó szervezet egy ilyen incidens miatt kerül a figyelem középpontjába.